Trzy krytyczne luki bezpieczeństwa w serwisie Dropbox
Na sympozjum USENIX Security zaprezentowano trzy krytyczne błędy w Dropboksie, które pozwalały cyberprzestępcom na uzyskanie dostępu do plików internautów.
Pierwszy z błędów ma związek z sumą kontrolną plików, na której opiera się działanie modułu serwisu odpowiedzialnego za sprawdzanie przesyłanych danych, czy nie są duplikatami. Okazało się, że za pomocą spreparowanego ciągu haker mógł uzyskać dostęp do całego konta użytkownika, a ten nie miałby nawet o tym pojęcia, gdyż włamanie odbyłoby się z pominięciem procesu logowania obecności.
Dwa pozostałe ukazały natomiast słabość Dropbox host ID, czyli numeru, który jest generowany dla indywidualnie dla każdego użytkownika logującego się na swoje konto. Hakerzy mogli w prosty sposób przejąć klucz, a następnie podszyć się pod użytkownika, uzyskując tym samym dostęp do jego danych.
Wszystkie błędy zostały już wyeliminowane. Za ich odnalezienie odpowiadała austriacka firma badawcza SBA Research, która ostatecznie zaprezentowała efekty swojej pracy na wspomnianym wcześniej sympozjum USENIX Security.
Dołącz do dyskusji: Trzy krytyczne luki bezpieczeństwa w serwisie Dropbox