Hlavní navigace

Ukradená hesla Dropboxu: Všechno zlé je k něčemu dobré

Pavel Čepský

Bezpečnostní incidenty, které se jakýmkoliv způsobem dotýkají uživatelských účtů, vždy budí odpovídající pozornost. Nyní se mezi postižené zařadil Dropbox, který obsluhuje desítky milionů klientů.

Cloudová úložiště různého druhu a od rozličných poskytovatelů takovýchto služeb získávají na popularitě, často se však diskutuje o jejich bezpečnosti. Další vlnu diskuzí a vrásek na čelech uživatelů v uplynulých dnech rozpoutal Dropbox, který přiznal únik přihlašovacích údajů části jeho uživatelů. Zvýšenému zájmu se není co divit, protože Dropbox patří mezi nejsilnější hráče v této oblasti. Proč a čeho se tedy vlastně obávat, pokud vůbec?

Počátky aktuální kauzy sahají několik týdnů do minulosti. Podle původního vyjádření Dropboxu si někteří jeho uživatelé stěžovali na to, že jim do e-mailových schránek chodí spam. Na tom by v dnešní době nebylo nic tak divného, pokud by však tyto schránky nepoužívali pouze pro Dropbox, tedy při registraci do služby a během jejího používání. Před několika dny Dropbox jakoby mimochodem potvrdil, že došlo k úniku dat, informace se primárně objevila na oficiálním blogu provozovatelů a tvůrců této služby. Došlo dokonce ke dvěma bezpečnostním incidentům zároveň: z webu třetí strany byla ukradena přihlašovací jména a hesla části uživatelů. K postiženým patřil také zaměstnanec Dropboxu a na e-mailové účty uživatelů v jeho úložišti pak byl rozeslán spam.

U prvně zmíněného případu, kdy přihlašovací jména hesla unikla z webu třetí strany (jak bylo oficiálně publikováno na blogu Dropboxu), leží vina na bedrech samotných uživatelů. Jedná se o klasické případy, kdy přílišní důvěřivci svěří své citlivé informace další službě, například pro snazší přístup, jednodušší sdílení, načtení dalších informací apod. Samozřejmě nutno podotknout, že se nejedná pouze o Dropbox, ale také další služby – typicky například vložení přihlašovacího jména a hesla k některé sociální síti či jen e-mailové schránce na cizím webu, které má zajistit import kontaktů, informací apod. U méně prozíravých uživatelů se bohužel jedná o standard.

Jestliže by došlo pouze k tomuto zneužití přihlašovacích informací, nemají si obecně uživatelé u Dropboxu na co stěžovat, jelikož chyba není přímo na straně provozovatelů úložiště jako takového. Nicméně druhý problém je již potřeba připsat na účet Dropboxu. Uložení e-mailových účtů uživatelů v úložišti jednoho ze zaměstnanců není snadno omluvitelné, i když se provozovatelé Dropboxu oficiálně káli a přislíbili, že se situace již nebude opakovat. Uživatelé samozřejmě byli společně s oběma incidenty upozorněni na související rizika.

Dropbox blog
Oficiální oznámení a prohlášení o bezpečnostním incidentu na blogu Dropboxu

Ztraceno v síťovém světě

Letní měsíce jako kdyby byly vyhrazené problémům se službou Dropbox, přesně před rokem totiž vyvstaly otázky ohledně nových podmínek. Osobně odhaduji, že si maximálně jeden z deseti uživatelů při registraci do libovolné webové služby před odsouhlasením detailně pročte všechny podmínky užívání, stejně tak v případě instalace programů zdarma.

Proto pak mohou být překvapeni, že se podobné bezpečnostní problémy vyskytují, ale konkrétní náhrada případné škody je zpravidla v nedohlednu. A i když se v oprávněném návalu rozhořčení rozhodnou se službou skoncovat, jejich digitální stopa kdesi v cloudu zpravidla zůstává napevno vyšlapaná, digitální identity se jen tak neztrácejí. Je proto důležité si uvědomit, že každou další registrací navíc, byť jde o sebespolehlivější a lákavější službu, vzniká prostor pro nové problémy do budoucna. Nejen začínající uživatelé by měli pamatovat na to, že následováním odkazu „Zrušit účet“ v některé službě se informace z webové pavučiny zpravidla najednou neodstraní jako mávnutím kouzelného proutku.

Jakmile dojde k prolomení konkrétní služby (nyní se již nebavíme o Dropboxu, ale veřejném cloudu obecně), bude si cracker jen stěží vybírat pouze ta data, která patří aktuálně aktivním a zaregistrovaným či jinak význačným uživatelům. Pak už nezbývá než doufat, že provozovatel nasadil dostatečně zabezpečené technologie, což ale u zdarma dostupných webových služeb v podmínkách při registraci často pochopitelně nenajdete. Postižitelnou skupinou nejsou jen internetoví trpaslíci, ale i větší sítě s uživatelskými údaji, viz například dřívější kauzy Sony a Sega.

Dropbox
Dropbox se svým klientem patří mezi snadno zvládnutelné nástroje, a tak láká mnoho začínajících uživatelů

Jedno heslo vládne všem

Staré známé přísloví praví, že všechno zlé je k něčemu dobré. Podobně tak i Dropbox po oficiálním přiznání chyby přešel k lepším možnostem zabezpečení, a především na ně upozornil koncové uživatele. Novinku, která by se během několika týdnů měla dočkat realizace, představuje standardní dvoufaktorová autentizace uživatele, tedy možnost přihlášení heslem a dalším prvkem. Sami provozovatelé naznačili, že by mohlo jít například o speciální autentizační a autorizační kódy s omezenou časovou platností, kterou uživatel obdrží na svůj mobilní telefon pomocí SMS zprávy.

Jedná se tedy o stejný princip, s nímž se i běžní uživatelé internetu setkali například u elektronického bankovnictví při potvrzování transakcí či dalších kritických operací. Kromě toho se podle příslibů Dropboxu můžeme těšit také na nový mechanismus pro detekci podezřelých operací, stejně jak je již v provozu specializovaná stránka s přehledem přihlášení. Navíc byli uživatelé upozorněni na nebezpečí spojená s použitím slabých hesel a využíváním stejných přístupových údajů k různým webovým službám – tedy taková obvyklá bezpečnostní osvěta.

Online službám se dnes již prakticky nelze vyhnout, stejně tak případným registracím, které jsou pro další používání nutné, neslouží jen jako další položka v seznamu pro spamování. Než se některé webové aplikaci zdarma upíšeme, zvažme, jestli ji opravdu využijeme. A pokud ne, odložme na chvíli ego stranou, pokud jsme bez dané služby fungovali doteď, půjde to i nadále. Jak jste na tom s webovými službami vyžadujícími registraci vy? Používáte univerzální účet a heslo, nebo raději pro každou stránku generujete/vymýšlíte nové? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?

15. 8. 2012 10:06

Za dobrý kompromis považuju generování hesel pomocí kryptografického hashe z URI a společného silného master-hesla. Třeba https://addons.mozilla.org/en-us/firefox/addon/pwgen-password-generator/

8. 8. 2012 18:40

Lol Phirae (neregistrovaný)

No, přirozeně úplně k ničemu. Ale je to marný, je to marný, je to marný... :)

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Nahradí sluch, ale zvuk je zcela jiný

Nahradí sluch, ale zvuk je zcela jiný

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Jmenuje se Janina a žije bez cukru

Jmenuje se Janina a žije bez cukru

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla