In seguito a un aggiornamento erroneo della piattaforma, per 4 ore è stato sufficiente inserire solo l’e-mail per accedere a file e documenti.
Dropbox ha reagito quando i buoi erano ormai scappati dalla stalla. Gli utenti del servizio che consente l’hosting dei file “in the cloud” è nel bel mezzo della bufera dopo un brutto incidente avvenuto domenica scorsa.
Il bug
Un bug introdotto in seguito all’applicazione di un aggiornamento relativo alla piattaforma, ha reso tutti gli account degli utenti registrati accessibili senza l’utilizzo della corrispondente password.
Bastava che un malintenzionato conoscesse l’indirizzo e-mail di un utente “abbonato” al servizio per accedere al suo account e fare razzia di qualunque genere di file, compresi i contenuti privati.
Secondo quanto riferito, il problema si sarebbe manifestato, consecutivamente, addirittura per circa quattro ore lasciando gli account degli utenti in balìa di eventuali aggressori.
Le scuse di Dropbox
Con un comunicato ufficiale, Dropbox si è scusata per quanto accaduto – “non sarebbe mai dovuto accadere“, ha osservato il portavoce della società – spiegando che l’incidente avrebbe coinvolto un ristretto numero di utenti (molto meno dell’1% secondo quanto comunicatod a Dropbox).
“Stiamo comunque compiendo un’accurata verifica tesa anche a controllare che non vi siano account utente utilizzati da terzi senza ricorrere alla password corretta“, si precisa da Dropbox. “Nel caso in cui dovessimo rilevare attività irregolari, provvederemo ad inviare una notifica ai proprietari di ogni singolo account“.
Non è la prima volta che Dropbox “scivola” su questioni legate alla sicurezza dei dati. Proprio di recente la FTC (Federal Trade Commission) americana era stata chiamata ad esprimersi sulla bontà del servizio in relazione alle metodologie tecniche utilizzate per proteggere i dati caricati online dagli utenti .
Secondo le accuse mosse da un ricercatore accademico, Christopher Soghoian, sebbene i file caricati su Dropbox siano automaticamente crittografati ricorrendo all’algoritmo AES-256 e trasmessi attraverso un canale sicuro (SSL), i dipendenti della società avrebbero comunque accesso alle chiavi e sarebbero in grado, quindi, di mettere le mani su informazioni di proprietà altrui. E ciò, sempre stando alle eccezioni sollevate da Soghoian, Dropbox avesse precedentemente dichiarato il contrario
Per crittografare i file caricati su Dropbox si può usare un software opensource qual è TrueCrypt: grazie ad esso è infatti possibile fare in modo che i dati inviati “in the cloud” non possano essere utilizzati da persone non autorizzate.
Tra i servizi rivali di Dropbox maggiormente agguerriti e più promettenti c’è Wuala che però richiede, per funzionare, la presenza del pacchetto Java JRE sul sistema in uso.