Szoftverfrissítési hiba miatt bármilyen jelszót elfogadott a Dropbox

A tárhelyszolgáltatásnak eddig nem kellett szembenéznie komolyabb fennakadásokkal, azonban most négy órán keresztül teljesen védtelen volt a külső támadásokkal szemben.

Arash Ferdowsi, a Dropbox alapítója és technikai ügyekért felelős vezetője blogbejegyzésben számolt be arról, hogy egy szoftverfrissítés miatt a szolgáltatás négy órán át gyakorlatilag bármilyen jelszót elfogadott a belépéskor. Állítása szerint szerencsére a hibát nem használták ki bűnözők, mert különben veszélyben lehettek volna a felhasználók adatai. Az érintett időszakban csupán a tagok egy százaléka jelentkezett be, így a regisztrált emberek többsége nem is értesült a hibáról. A szoftverfrissítést időközben már kijavították.

Ferdowsi elnézést kért a történtek miatt és azt hangsúlyozta, hogy ilyesminek soha nem lett volna szabad megtörténnie. Közölte: tanultak a hibából, megerősítik az ellenőrzésekért felelős rendszert és további biztonsági szintekkel egészítik ki. A munkatársaik jelenleg is elemzik a naplófájlokat. A TechCrunch tudósítása szerint csupán néhány felhasználó szembesült a hibával, voltak, akik különböző fórumokban írták le a tapasztalataikat. A szolgáltatás üzemeltetői most is vizsgálják, hogy történtek-e esetleges visszaélések.


A tagokat felszólították arra, hogy ha felmerül a gyanúja az illetéktelen hozzáférésnek, akkor azonnal lépjenek kapcsolatba az oldal ügyfélszolgálatával. Ez az eset is rávilágított arra, hogy önmagukban közel sem biztonságosak ezek a szolgáltatások és nem véletlenül ajánlják a szakemberek, hogy a feltöltés előtt a felhasználók titkosítsák a fájljaikat. A sikerét az egyszerűségének köszönhető Dropboxszal kapcsolatban egyébként ez már a második adatvédelmi szempontból aggályos ügy, hiszen május közepén felmerült a gyanúja annak, hogy az online tárhelyszolgáltatás nem az ígért mértékben védi a felhasználók adatait, ezért egy biztonsági szakértő hivatalos vizsgálatot szorgalmazott az ügyben.

A Dropboxot jelenleg 25 millióan használják, akik több mint 200 millió fájlt tárolnak a segítségével. Christopher Soghoian biztonsági szakember azt követelte a vállalattól, hogy a jelenleginél erősebben védje ezeket az adatokat. A szakértő többek között azt kifogásolja, hogy a cég állítása szerint minden feltöltött fájlt 256 bites AES titkosítással védenek és az anyagokhoz még a vállalat munkatársai sem férhetnek hozzá. Ezzel szemben a valóság az, hogy idén április 21. óta a szolgáltatás már nem reklámozza magát így. Az ok egyszerű: a Dropbox blogjában megjelentette azt az információt, miszerint megváltoztatta az Általános Üzleti Feltételeit, s így elvileg a tárolt fájlokat akár az amerikai kormánynak is továbbíthatja.