10.05.2014, 10:19
Widzimy "trend" na przechowywanie plików w chmurze, bo można tam łatwo przechowywać dane, a także robić backup np.plików...itp. Jedną z takich chmur jest Dropbox. No wiemy, że dropbox jest znany z niejednej wpadki 
np.
Tak to piszą
:
Tym razem problem dotyczy dostępu do plików w Dropboxie.
Mimo wszystko powinniśmy szyfrować dane przed przesłaniem do chmury (choć może to nie być wygodne).
Fajna strona:
Tak na marginesie: Z jakich programów do szyfrowania korzystacie i z jakich chmur (jeżeli ktoś korzysta)?
np.[Aby zobaczyć linki, zarejestruj się tutaj]
Tak to piszą
:Cytat: Mimo wielu zabezpieczeń czasem zdarza się także splot okoliczności, który powoduje, że pliki, które miały być prywatne, stają się dostępne dla każdego.
Tym razem problem dotyczy dostępu do plików w Dropboxie.
Cytat: Na trop problemu trafiła kilka miesięcy temu firma Intralinks, jeden z konkurentów Dropboxa. Pracownicy Intralinks analizowali efekty kampanii Google AdWords, kiedy natrafili we frazach wyszukiwania na linki prowadzące do poufnych dokumentów użytkowników Dropboxa. Dropbox umożliwia swoim użytkownikom dzielenie się plikami poprzez unikatowe linki, umożliwiające każdemu ich posiadaczowi otwarcie wskazanego dokumentu bez potrzeby logowania się do Dropboxa. Każdy posiadacz takiego linka, uprawniony czy nieuprawniony, może zapoznać się z treścią udostępnionego w ten sposób dokumentu.
W jaki sposób te linki trafiły do danych kampanii AdWords? Intralinks wykupiło reklamy równiez na frazy związane ze swoją konkurencją. Kiedy któryś z użytkowników Dropboxa, zamiast do paska adresu wkleił swój link do okienka wyszukiwania, mógł zobaczyć reklamę Intralinks, a gdy w nią kliknął, fraza wyszukiwania (czyli „tajny” link) trafiała do logów kampanii. W podobny sposób w ręce Intralinks trafiły również dokumenty z serwisu Box.
Pracownicy Intralinks przejrzeli dostępne dane i trafili w nich chociażby na zeznania podatkowe czy wnioski kredytowe lub wyciągi bankowe oraz różne poufne dokumenty firmowe.
[Aby zobaczyć linki, zarejestruj się tutaj]
Według informacji opublikowanych przez Grahama Cluleya w trakcie małej kampanii reklamowej 300 (ok. 5%) wszystkich kliknięć niosło ze sobą informacje o adresach poufnych dokumentów.
Niebezpieczne odnośniki
Nie jest to jedyny scenariusz, w którym może dochodzić do ujawnienia treści poufnego adresu prywatnego dokumentu. Kolejnym przykładem jest chociażby funkcja przesyłania przez przeglądarkę adresu, z którego nastąpiło kliknięcie w link prowadzący do adresu docelowego (tzw. http referer). Oznacza to, że gdy w prywatnym dokumencie w serwisie Dropboxa znajdował się link do innego serwisu i został otwarty przez użytkownika, w logach tego drugiego serwisu lądował poufny adres dokumentu Dropboxa.
Oczywiście istniały także inne możliwości niezamierzonego ujawnienia poufnego linka, jak chociażby umieszczenie go w publicznym serwisie, umożliwiającym zindeksowanie dokumentu przez Google.
Czemu taka sytuacja nie powinna mieć miejsca
Dropbox nie jest jedynym serwisem, który stosuje „tajne” linki do udostępniania poufnych informacji niezalogowanych użytkownikom. To dość powszechna praktyka – podobnie udostępniane mogą być prywatne filmy w serwisie Youtube czy zdjęcia z prywatnych galerii Facebooka. Istotne jest jednak to, że w przypadku Dropboxa użytkownicy, korzystający z darmowej wersji produktu, nie mają innej opcji udostępnienia dokumentu poprzez wysłanie linka. Dopiero wersja „biznesowa” umożliwia ograniczenie widoczności dokumentu tylko dla wcześniej zdefiniowanej grupy współpracowników. Niestety wielu użytkowników nie zdaje sobie sprawy z tego problemu i dość niefrasobliwie postępuje z linkami do poufnych dokumentów, zwiększając ryzyko ujawnienia ich treści.
W przypadku serwisu Box taka funkcja jest dostępna dla darmowych użytkowników, jednak ta opcja domyślnie nie jest zaznaczona.
Reakcja Dropboxa
Dropbox opublikował wpis na swoim blogu, w którym porusza opisane powyżej problemy. Linki do wszystkich dokumentów, które mogły zostać przypadkowo ujawnione poprzez przesłanie informacji o linku odsyłającym zostały zablokowane. Jeśli zaś chodzi o przypadkowe ujawnienie linków poprzez okienko wyszukiwania – Dropbox uważa, że jest to problem użytkownika i nie zamierza w tej kwestii niczego poprawiać.
W tej sytuacji proponujemy wszystkim, korzystającym z darmowych kont Dropboxa do celów biznesowych (lub istotnych celów prywatnych) i dzielącymi się dokumentami przejście na wersję płatną i ograniczenie dostępu do przesyłanych linków – lub zmianę dostawcy hostingu w chmurze na takiego, który oferuje taką funkcję w darmowym pakiecie.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Mimo wszystko powinniśmy szyfrować dane przed przesłaniem do chmury (choć może to nie być wygodne).
Fajna strona:
[Aby zobaczyć linki, zarejestruj się tutaj]
Tak na marginesie: Z jakich programów do szyfrowania korzystacie i z jakich chmur (jeżeli ktoś korzysta)?
[Aby zobaczyć linki, zarejestruj się tutaj]