Mientras LulzSec y Anonymous se las ingenian para descubrir las vulnerabilidades de seguridad de todo lo que se les cruza, algunos servicios le hacen la tarea fácil a quienes quieren inmiscuirse en donde no les corresponde. Dropbox lo hizo el domingo, dando acceso a cualquiera de las 25 millones de cuentas que tiene sin solicitar contraseña. Es decir, simplemente ingresabas el nombre de usuario, presionabas enter y ya.
PUBLICIDAD
La falla estuvo activa durante cuatro horas el domingo, cuando un cambio en la programación introdujo un bug. La falla fue reportada en los foros de Dropbox y en Pastebin, y se suma a los cuestionamientos sobre el manejo de la seguridad del servicio.
La compañía señaló en su blog que:
Estamos conduciendo una investigación profunda de actividad relacionada para averiguar si se accedió a alguna cuenta de manera indebida. Si identificamos cualquier instancia específica de actividad inusual, notificaremos inmediatamente al dueño de la cuenta. Si estás preocupado respecto de alguna actividad reciente ocurrida en tu cuenta, puedes contactarnos a security@dropbox.com. Esto nunca debería haber pasado. Estamos revisando nuestros controles e implementaremos salvaguardias adicionales para prevenir que vuelva a suceder.
Según Dropbox, menos del 1% de las cuentas fueron abiertas durante esas 4 horas, y cuando se dieron cuenta del error cerraron a la fuerza todas las sesiones que se habían autentificado con credenciales falsas (o sea, sin usar contraseña).
Dropbox realiza el cifrado y decifrado de los archivos en los servidores de la empresa y no en los computadores de cada usuario. Esto permite que Dropbox pueda abrir los archivos porque ellos tienen la llave de acceso para el cifrado. Este sistema tiene como ventaja que permite a los usuarios recuperar archivos aun cuando han olvidado su contraseña, pero también presenta varios problemas de seguridad.
Dropbox ha sido fuertemente cuestionado últimamente por hacer creer a los usuarios de que su servicio es más seguro de lo que realmente es, haciendo pensar a algunos que guardar archivos allí es preferible a tenerlos en su propio computador. Quizás sería un buen momento para reevaluar las cosas para quienes guardan cosas importantes en Dropbox.
Links:
– Yesterday’s Authentication Bug (Dropbox Blog)
– Dropbox left user accounts unlocked for 4 hours sunday (Wired)