QR code per la pagina originale

Dropbox, 4 ore senza password

Un ricercatore ha scoperto una falla in Dropbox che per 4 ore ha permesso a chiunque di accedere ad un qualunque account senza password.

,

Nella giornata di domenica un grave bug ha afflitto Dropbox: scoperto dal ricercatore di sicurezza Christopher Soghoian, tale vulnerabilità ha permesso per circa 4 ore di accedere ad un qualunque account registrato presso quello che è diventato uno dei servizi per la sincronizzazione e la condivisione di file più usato al mondo, digitando semplicemente una password qualunque.

Gli oltre 25 milioni di account che Dropbox può vantare sono stati così esposti ad un enorme rischio all’incirca per 4 ore, il tempo necessario al team del servizio per venire a conoscenza del problema e per risolverlo. Di questi, solo l’1% sembra esser stato coinvolto e tutti gli accessi sono stati registrati per motivi di sicurezza: tali log saranno analizzati nei prossimi giorni per individuare attività anomale ed eventualmente contattare i possessori degli account violati per invitare loro ad effettuare i dovuti controlli sui file presenti sui server.

La vulnerabilità è stata introdotta involontariamente dagli sviluppatori Dropbox a seguito di alcuni aggiornamenti alla piattaforma e sarebbe dovuta alla metodologia scelta dai progettisti per la criptazione dei file. Dropbox permette infatti di recuperare i file caricati anche nel caso in cui dovesse esser smarrita la password del proprio account, essendo la criptazione effettuata a livello server e non dall’utente: le chiavi necessarie a decriptare i file sono così archiviate nel cloud, fornendo da un lato maggiori garanzie in termini di ripristino dei documenti, dall’altro invece una serie di problemi e bug che potrebbero compromettere la sicurezza degli utenti.

Il team di Dropbox ha inoltre promesso l’introduzione di una serie di funzionalità in grado di elevare il livello di protezione del servizio, facendo in modo che quanto accaduto non si verifichi nuovamente. La frittata è tuttavia ormai stata fatta ed oltre ad aver perso alcuni punti nella fiducia degli utenti, Dropbox dovrà ora affrontare l’accusa mossa dallo stesso ricercatore Soghoian, che ha depositato presso la Federal Trade Commission una richiesta di verifica nei confronti del portale.

Fonte: Dropbox • Via: The Washington Post • Immagine: june29 • Notizie su: ,