Onlajn servis za čuvanje fajlova, Dropbox, slučajno je isključio šifre tokom četiri sata čime su podaci oko 25 miliona klijenata bila ugrožena od strane neautorizovanih korisnika. Greška je nastala kada je kompanija unela izmenu u kod u 16:54h 19. juna koja je dovela do problema u autentifikacionom mehanizmu, izjavio je Araš Ferdovsi iz Dropbox-a. Problem je uočen nakon četiri sata kada je Dropbox prekinuo sesije svih onih koji su bili ulogovani i imali pristup podacima.
Bilo ko na svetu je imao priliku da zadobije pristup nekom od 25 miliona naloga na kojima se nalaze razni podaci time što bi ukucao bilo šta umesto šifre. Moguće je da je do problema došlo zbog toga što Dropbox enkripciju i dekripciju drži na svojim serverima umesto na individualnim računarima. Kako se enkripcija nalazi kod njih, oni mogu da kontrolišu ko otvara fajlove, a ne sam korisnik.
"Ovo nije trebalo da se dogodi. Mi nadgledamo naše kontrole i ubacićemo dodatne sigurnosne opcije kako se nešto ovakvo ne bi ponovilo," rekao je Ferdovsi.
Greška je popravljena u 20:46h, samo pet minuta nakon što je i otkrivena. Kompanija je takođe obavestila sve korisnike koji su se ulogovali u svoje naloge u proteklih četiri sata i od njih zatražila da provere detalje o aktivnosti svojih naloga. Zabrinuti korisnici mogu direktno kontaktirati Dropbox putem Ova adresa el. pošte zaštićena je od spam napada, treba omogućiti JavaSkript da biste je videli ili Ova adresa el. pošte zaštićena je od spam napada, treba omogućiti JavaSkript da biste je videli email adresa.
"Ovakvi događaji samo potvrđuju ono o čemu mnogi ljudi govore - nijedan cloud provajder nije imun na iste administratorske greške koje se prave u svim kompanijama," kaže Džef Veb iz Credant Technologies-a. "Ono što cloud provajdere razlikuje od ostalih jeste to što nastali problem utiče na mnogo veći broj korisnika. Većina podataka najverovatnije uopšte i nije poverljivog karaktera, ali s obzirom da se mnoga preduzeća oslanjaju upravo na ovaj servis za čuvanje poslovnih podataka, ovakva neprijatna situacija itekako može da ih ugrozi," kaže Veb.
Tokom tih četiri sata bilo je otvoreno manje od 1% naloga, kaže Ferdovsi. Još uvek se istražuje da li je neki neovlašćen korisnik pristupio nekom od naloga.
"Trenutno ispitujemo da li je neki neovlašćeni korisnik pristupio nekom od naših naloga," izjavio je Ferdovsi.
Problem je uočio jedan od korisnika koji je na Dropbox forumu obavestio i druge o ovome gde je kontaktirao istraživača bezbednosti Kristofera Sogojana, studenta na Univerzitetu u Indijani. On je poslao savet na sajtu Pastebin.
"Otkrio sam da mogu da uđem u svoj nalog uz pogrešnu šifru, onda sam još malo ispitivao i zaključio da mogu da uđem u još tri naloga mojih prijatelja i pristupim njihovim fajlovima uz bilo kakvu šifru," nepoznati korisnik je napisao Sogojanu.
Sogojan već duže vreme kritikuje Dropbox. On je u maju napisao žalbu Federalnoj trgovinskoj komisiji tvrdeći da je kompanija prevarila svoje klijente u vezi sa pruženom sigurnošću svog servisa. Dropbox je tvrdio da njihovi zaposleni nemaju apsolutno nikakav pristup tuđim fajlovima, dok je nekolicina njih imala administrativna prava. Dropbox je nedavno ažurirao pravilnik čime je potvrdio da će u slučaju potrebe dekriptovati korisničke fajlove i pristup njima dati vlastima.
Individualni korisnici i preduzeća moraju da budu odgovorni kad je u pitanju sigurnost njihovih fajlova gde god ih čuvali. "Ni na koga se ne smete osloniti u potpunosti," kaže Veb.
Dropbox omogućava korisnicima da svoje fajlove bilo kog tipa čuvaju na njihovim serverima kojima je moguće pristupiti odakle god. Kompanija je u aprilu izjavila da se kod njih čuva preko 200 miliona fajlova.
Zbog činjenice da Dropbox kontroliše enkripciju, servis je jednostavan za korišćenje, a korisnici mogu da pristupe svojim fajlovima čak i kada zaborave šifru. Ako bi korisnici kontrolisali enkripciju, podaci bi zauvek bili izgubljeni u slučaju gubitka šifre, kažu iz Dropbox-a. Enkripcija takođe mora biti upisana na svakom uređaju putem kojeg korisnik želi da pristupi servisu.
Sogojan ističe da enkripcioni model ove kompanije sa sobom nosi brojne probleme, te da bi bilo bolje da korisnici preuzmu kontrolu nad enkripcijom.
"Mnogi korisnici zapravo nisu adekvatno opremljeni za pravilno upravljanje šiframa," kaže Mušeg Hakinan iz IntraLinks-a. Poveravanje upravljanje šiframa korisniku nije najpametnije rešenje, kaže on ističući da provajderi mogu te podatke da smeste u "veoma bezbedan" centar podataka.
"Problem nije u Dropbox-u. Očekivanja da će jednostavnim premeštanjem fajlova u cloud oni dodatno obezbediti su nerealna, bez obzira na to ko rukovodi servisom. To se svejedno ne može postići," kaže Veb.
TG
Prikaži/Sakrij komentare
Prikaži/Sakrij formu za unos
| < Prethodna | Sledeća > |
|---|