Mientras LulzSec y Anonymous se las ingenian para descubrir las vulnerabilidades de seguridad de todo lo que se les cruza, algunos servicios le hacen la tarea fácil a quienes quieren inmiscuirse en donde no les corresponde. Dropbox lo hizo el domingo, dando acceso a cualquiera de las 25 millones de cuentas que tiene sin solicitar contraseña. Es decir, simplemente ingresabas el nombre de usuario, presionabas enter y ya.
La falla estuvo activa durante cuatro horas el domingo, cuando un cambio en la programación introdujo un bug. La falla fue reportada en los foros de Dropbox y en Pastebin, y se suma a los cuestionamientos sobre el manejo de la seguridad del servicio.
La compañía señaló en su blog que:
Según Dropbox, menos del 1% de las cuentas fueron abiertas durante esas 4 horas, y cuando se dieron cuenta del error cerraron a la fuerza todas las sesiones que se habían autentificado con credenciales falsas (o sea, sin usar contraseña).
Dropbox realiza el cifrado y decifrado de los archivos en los servidores de la empresa y no en los computadores de cada usuario. Esto permite que Dropbox pueda abrir los archivos porque ellos tienen la llave de acceso para el cifrado. Este sistema tiene como ventaja que permite a los usuarios recuperar archivos aun cuando han olvidado su contraseña, pero también presenta varios problemas de seguridad.
Dropbox ha sido fuertemente cuestionado últimamente por hacer creer a los usuarios de que su servicio es más seguro de lo que realmente es, haciendo pensar a algunos que guardar archivos allí es preferible a tenerlos en su propio computador. Quizás sería un buen momento para reevaluar las cosas para quienes guardan cosas importantes en Dropbox.
Links:
– Yesterday’s Authentication Bug (Dropbox Blog)
– Dropbox left user accounts unlocked for 4 hours sunday (Wired)
