leonardo.it

Dropbox, un problema di sicurezza ha consentito l’accesso a tutti senza password per 4 ore

 
@naqern (Andrea Guida)
21 giugno 2011
12 commenti

Quella di questa mattina è una storia veramente brutta, una storia che fa paura. Se fosse una tragedia greca, sarebbe la “Medea” di Euripide. Se fosse un libro horror, sarebbe “IT” di Stephen King. Paura, eh? Siamo sul web, sono le 13:54 di domenica 19 giugno 2011 (fuso orario del Pacifico) e il team di Dropbox aggiorna il codice del proprio, apprezzatissimo, servizio. Tutto sembra essere andato per il verso giusto… ma non è così.

Quattro ore dopo, alle 17:41, il team si accorge che quell’aggiornamento è stato fatale. Ha lasciato le porte di Dropbox aperte a tutti i potenziali malintenzionati che, armati dell’indirizzo e-mail di un utente del servizio e inserendo una password qualsiasi per l’autenticazione (qualsiasi vale a dire anche nessuna password), avrebbero potuto infiltrarsi nelle cartelle Dropbox di chiunque.


Lucarellismi a parte, il “difettuccio” illustrato dal team di Dropbox sul blog ufficiale del servizio ha del clamoroso. Sebbene le stime ufficiali dicano che meno dell’1% degli utenti si è loggato e ha subito potenziali violazioni dell’account nelle quattro ore di “black-out” di domenica scorsa, è inammissibile che un servizio così popolare perda le sue protezioni lasciando i file di tutti gli utenti alla mercé del primo che passa.

Questa notizia fa tornare prepotentemente di attualità un programmino gratuito che vi abbiamo segnalato diverse settimane fa. Si tratta di SecretSync, che permette di crittografare automaticamente i file da archiviare in Dropbox prima della sincronizzazione. Se usate Dropbox per conservare qualcosa di più “delicato” della ricetta della carbonara, prendete in seria considerazione l’ipotesi di usarlo per aggiungere un livello di protezione in più ai vostri file.

Un altro consiglio per evitare che eventuali ficcanaso vedano dati “troppo delicati” conservati nella cartella di Dropbox, è quella di cancellare definitivamente i file cancellati solo superficialmente dalle cartelle sincronizzate. Se non sapete come fare, date un’occhiata alla nostra lista di 5 trucchetti per Dropbox da conoscere assolutamente e state sempre in campana. È importante.

[Via | Lifehacker]

 

Articoli Correlati
YARPP
Dropbox, confermato l’attacco hacker: in arrivo nuove misure di sicurezza

Dropbox, confermato l’attacco hacker: in arrivo nuove misure di sicurezza

Circa due settimane fa aveva iniziato a diffondersi in rete la voce facente riferimento ad un possibile attacco hacker ai danni di Dropbox. Sino a questo momento, però, non era […]

Utenti Dropbox colpiti dallo spam: violata la sicurezza del servizio?

Utenti Dropbox colpiti dallo spam: violata la sicurezza del servizio?

A partire da lunedì scorso numerosi utenti Dropbox, così come emerso sul forum ufficiale dello stesso, hanno iniziato a lamentare l’arrivo di una gran quantità di messaggi di spam, di […]

Dropbox 1.2 corregge un problema di sicurezza

Dropbox 1.2 corregge un problema di sicurezza

Il team di Dropbox ha rilasciato una nuova versione sperimentale del suo client per Windows, Mac e Linux che corregge un problema di sicurezza mediante il quale i malintenzionati avrebbero […]

KeePass+Dropbox, come sincronizzare le password tra più PC

KeePass+Dropbox, come sincronizzare le password tra più PC

Ormai sono sempre di più i geek che non possono vivere senza Dropbox. Anche perché, oltre a sincronizzare i file tra più computer e dispositivi in maniera egregia, il celeberrimo […]

Come caricare file su Dropbox tramite e-mail (senza servizi Web di terze parti)

Come caricare file su Dropbox tramite e-mail (senza servizi Web di terze parti)

Come noto, Dropbox non permette l’upload diretto di file tramite e-mail. A dire il vero, nei mesi passati sono nati dei servizi online adatti allo scopo ma gli utenti più […]

Lista Commenti
Aggiungi il tuo commento

Fai Login oppure Iscriviti: è gratis e bastano pochi secondi.

Nome*
E-mail**
Sito Web
* richiesto
** richiesta, ma non sarà pubblicata
Commento

  • #1Luca

    Ciao,
    il loro post non dice che meno dell'1% è stato violato, ma che meno dell'1% degli utenti si sono loggati, probabilmente legittimamente, in quell'arco di tempo.

    21 giu 2011, 10:43 am Rispondi|Quota
    • #2Andrea Guida (Naqern)

      sì, avevamo interpretato male. Ora il concetto è espresso meglio. ;)

      21 giu 2011, 10:49 am Rispondi|Quota
  • #3kikko

    Un buco grosso come una casa, eh? Meno male che esiste la cifratura… SecretSync? Chi (come me) non usa Windows, dovrebbe assolutamente arrangiarsi con TrueCrypt…

    21 giu 2011, 10:44 am Rispondi|Quota
  • #4Blog123

    La sicurezza migliore è avere i propri dati sul proprio hard disk a casa, magari con RAID1 (in caso di failture).
    Questi servizi di hosting file non sono per niente sicuri…

    21 giu 2011, 11:32 am Rispondi|Quota
  • #5Fareyus

    Questo è il cloud computing, ieri Lastpass, oggi dropbox, domani qualche servizio google.

    Se si "hostano" dati con una riservatezza appena superiore a quella della famosa "ricetta della pasta alla carbonara" questi sono i risultati.
    Di tutta l'erba un fascio no, uso e utilizzerò (anche forzatamente) questi servizi, ma bisogna sempre tenere a mente che anche l'errore (che è un paramentro che ci sarà SEMPRE a discapito di tante finte rassicurazioni) diventa CLOUD…. ergo la tragedia è sempre in agguato.

    Sul fatto di crittare i propri dati… ritengo che renda il servizio inutile, la forza e il concetto base di dropbox e dei servizi cloud è quella di avere accesso al dato OVUNQUE e con QUALUNQUE device possibilmente indipendentemente dall'architettura e dai programmi.

    Se si crittano i dati su dropbox tanto vale usare uno spazio web proprio e ben organizzato, perché alla fine il servizio è quello.

    21 giu 2011, 12:03 pm Rispondi|Quota
  • #6xforceos

    4 ore sono davvero tante…

    21 giu 2011, 12:07 pm Rispondi|Quota
  • #7Andrea

    La cosa bella è che ieri mi hanno mandato una mail invitandomi a ritornare su Dropbox dato che era da troppo tempo che non facevo il login !!!!

    21 giu 2011, 12:15 pm Rispondi|Quota
  • #8@cianoz

    Dato per buono che i servizi cloud sono intrinsecamente rischiosi, va anche detto comunque che ne esistono di migliori e più seri di Dropbox. Uno su tutti è Wuala, che crittografa i dati sul client PRIMA di inviarli nei server in cloud.
    In ogni caso uno deve essere consapevole che i sui file stanno sul server di qualcun altro.

    21 giu 2011, 4:49 pm Rispondi|Quota
  • #9Merovingio

    Adoro il Cloud Laugh-ing

    21 giu 2011, 8:51 pm Rispondi|Quota
  • #10Merovingio

    PS: ma anche l'home di Geekissimo aveva problemi non so se domenica o lunedì.

    21 giu 2011, 8:52 pm Rispondi|Quota
  • #11TheLoller

    "Se usate Dropbox per conservare qualcosa di più “delicato” della ricetta della carbonara…"
    sei un genio, ahahahah xD

    21 giu 2011, 11:50 pm Rispondi|Quota
    • #12Andrea Guida

      no, un cretino, ma a volte le cose possono essere confuse! :P

      25 giu 2011, 11:25 am Rispondi|Quota