Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Dropbox incidens

2012.08.01. 10:00 | detritus | 5 komment

A másfél héttel ezelőtti hírekben mi is megemlékeztünk a Dropbox felhasználókat érintő állítólagos célzott spamekről. Mostanra derült ki, hogy valóban történt incidens, azonban az majdnem csak annyiban érinti a Dropboxot, hogy most ők kénytelenek magyarázkodni. A támadók más oldalakról megszerzett hozzáférésekkel be tudtak lépni Dropbox felhasználók accountjaira (password re-use ftw), a tárhelyszolgáltató szerencsétlenségére pedig egyik munkatársuk is a listán volt. Valószínűleg ez utóbbin keresztül fértek hozzá a felhasználók e-mail címeihez.

A Dropbox az incidensre reagálva újabb biztonsági funkciókat vezet be, mint például kétfaktoros autentikáció, újabb mechanizmusok gyanús tevékenységek automatikus felismerésére ill. egy Security fül a webes felületen, melyen a legutóbbi bejelentkezéseket és az éppen aktív session-öket láthatjuk.

A tisztánlátás érdekében tehát: a Dropboxot, mint szolgáltatást nem törték fel.

Címkék: incidens dropbox

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

_2501 2012.08.01. 10:33:42

"a Dropboxot, mint szolgáltatást nem törték fel."

még. állítólag. ^___^

Aron bacsi 2012.08.01. 22:54:55

Ez pontosan milyen jelszó? Én lemaradtam ott, hogy a Dropbox kliens a config.db sqlite fájlban tárolja az auth-hoz használt tanúsítványt, és rejtjelezés (jelszó) nélküli (!) titkos kulcsot... De erről már tavaly is volt valami hír!

detritus 2012.08.02. 08:53:09

Szerintem itt most prózaibb a dolog, a Dropboxon tárolt cuccokat webes felületen is el lehet érni.

gphilip · http://search-download.com 2012.08.03. 00:54:37

"Valószínűleg ez utóbbin keresztül fértek hozzá a felhasználók e-mail címeihez." - WTF! Szoval nehany dropboxos alkalmazott postafiokjaban/szamitogepen/akarmijeben ott figyelnek a felhasznalok email cimei?

lacyc3 · http://www.lacyc3.eu 2012.08.16. 11:12:32

@gphilip: Inkább célzott támadás lehetett.