fb


2012-08-03 20:19

Lär av Dropbox – så ska du inte hantera en säkerhetsbrist

| Mer

Webbnyheter Dropbox hantering av ett säkerhetsproblem som innebar att en stor andel användares e-postadresser föll i händerna på IT-kriminella är ett skolexempel på hur man inte bör agera om man tar sina kunders säkerhet på allvar, anser säkerhetsexpert Rik Ferguson IT-säkerhetsföretaget Trend Micro.

För ett par dagar sedan uppgav Dropbox att företaget av misstag läckt en del av sina användares e-postadresser. Ihop med uttalandet följde ett löfte om att Dropbox nu ser över sin säkerhet. Detta bland annat med hjälp av two-factor authentication tillsammans med olika funktioner för att upptäcka misstänkt beteende.

Men kan men lita på en aktör som låtit ett så allvarligt brott mot säkerheten ske? Enligt Rik Ferguson, säkerhetsexpert på Trend Micro, är Dropbox hantering av den bristande säkerheten ett klart exempel på hur man inte ska göra.

“Som jag ser det finns flera oroande aspekter i själva händelsen och hur den senare hanterades. Varför har en anställt använt autentisk användarinformation i sina projekt? Och varför använde samma anställde identiska lösenord på flera ställen?” frågar sig Rik Ferguson på sin blogg.

Vanlig säkerhetspraxis
Rik Ferguson anser att Dropbox har brutit mot sedvanliga säkerhetsrutiner inom flera områden. Bland annat förhåller han sig kritisk till att företaget skickat e-post till kunder med ett meddelande om att de bör byta lösenord tillsammans med en länk till ett nollställningsformulär. Det är en metod som ofta används av kriminella som försöker komma över känslig information.

Ferguson ställer sig dessutom frågande till att Dropbox skriver att användare med ett svagt eller vanligt förekommande lösenord kommer att uppmanas att ändra det. Att Dropbox ens vet huruvida användares lösenord är säkra eller ej kan tyda på att de inte lagras i krypterad form, påpekar han.

Kan leda till phishing och allvarlig kriminalitet
Hittills har läckaget "endast" inneburit att enskilda användare fått stora mängder skräppost till sina e-postadresser, men enligt Rik Ferguson kan det lätt leda till långt värre saker.

“Dropbox-användare bör vara medvetna om phishing-attacker i framtiden. Läckaget kommer så småningom att utnyttjas av kriminella. Det här är ytterligare ett strålande exempel på varför det är så viktigt att aldrig använda samma lösenord på mer än en plats”, skriver Rik Ferguson.



Annons



billiga resor