Hackers breken Dropbox open, kunnen bestanden inzien

Dief slaat gat in Dropbox
Twee beveiligingsexperts hebben het voor elkaar gekregen om de Windows- en Linux-desktopapplicaties van de online bestandsopslagdienst dusdanig uit elkaar te trekken dat online opgeslagen bestanden toegankelijk zijn van buitenaf.

Ook hebben Dhiru Kholia en Przemysław Węgrzyn via deze toegang hun eigen Dropbox-client gemaakt, die alle functionaliteit biedt van de officiële applicatie, zonder Dropbox’ eigen API te gebruiken. De twee-factor beveiliging (een wachtwoord en een code van een authenticator) zijn niet consistent genoeg toegepast, en zo is dit dynamische duo het gelukt om er langs te komen.

Denk nu overigens niet meteen dat al je bestanden voor de wereld toegankelijk zijn. Na de presentatie van deze twee hebben ze, netjes opgevoed als ze zijn, Dropbox hierover ingelicht, en zijn de gebruikte gaten al deels gedicht. Voor hun standalone client hebben ze dus nu ook alternatieve toegangen nodig, aangezien die deze gaten gebruikte. Deze update wordt zo snel mogelijk uitgerold naar eindgebruikers.

Mocht je geïnteresseerd zijn in hoe ze het precies gedaan hebben, hun whitepaper is publiekelijk toegankelijk, in tegenstelling tot eerdere soortgelijke onderzoeken die grotendeels gecensureerd zijn. Ze moesten dan dus ook gedeeltelijk dubbel werk doen omdat het ze niet lukte om de gehele versies van deze onderzoeken in te zien.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *