Hlavní navigace

Ukradená hesla Dropboxu: Všechno zlé je k něčemu dobré

Pavel Čepský

Bezpečnostní incidenty, které se jakýmkoliv způsobem dotýkají uživatelských účtů, vždy budí odpovídající pozornost. Nyní se mezi postižené zařadil Dropbox, který obsluhuje desítky milionů klientů.

Doba čtení: 4 minuty

Cloudová úložiště různého druhu a od rozličných poskytovatelů takovýchto služeb získávají na popularitě, často se však diskutuje o jejich bezpečnosti. Další vlnu diskuzí a vrásek na čelech uživatelů v uplynulých dnech rozpoutal Dropbox, který přiznal únik přihlašovacích údajů části jeho uživatelů. Zvýšenému zájmu se není co divit, protože Dropbox patří mezi nejsilnější hráče v této oblasti. Proč a čeho se tedy vlastně obávat, pokud vůbec?

Počátky aktuální kauzy sahají několik týdnů do minulosti. Podle původního vyjádření Dropboxu si někteří jeho uživatelé stěžovali na to, že jim do e-mailových schránek chodí spam. Na tom by v dnešní době nebylo nic tak divného, pokud by však tyto schránky nepoužívali pouze pro Dropbox, tedy při registraci do služby a během jejího používání. Před několika dny Dropbox jakoby mimochodem potvrdil, že došlo k úniku dat, informace se primárně objevila na oficiálním blogu provozovatelů a tvůrců této služby. Došlo dokonce ke dvěma bezpečnostním incidentům zároveň: z webu třetí strany byla ukradena přihlašovací jména a hesla části uživatelů. K postiženým patřil také zaměstnanec Dropboxu a na e-mailové účty uživatelů v jeho úložišti pak byl rozeslán spam.

U prvně zmíněného případu, kdy přihlašovací jména hesla unikla z webu třetí strany (jak bylo oficiálně publikováno na blogu Dropboxu), leží vina na bedrech samotných uživatelů. Jedná se o klasické případy, kdy přílišní důvěřivci svěří své citlivé informace další službě, například pro snazší přístup, jednodušší sdílení, načtení dalších informací apod. Samozřejmě nutno podotknout, že se nejedná pouze o Dropbox, ale také další služby – typicky například vložení přihlašovacího jména a hesla k některé sociální síti či jen e-mailové schránce na cizím webu, které má zajistit import kontaktů, informací apod. U méně prozíravých uživatelů se bohužel jedná o standard.

Jestliže by došlo pouze k tomuto zneužití přihlašovacích informací, nemají si obecně uživatelé u Dropboxu na co stěžovat, jelikož chyba není přímo na straně provozovatelů úložiště jako takového. Nicméně druhý problém je již potřeba připsat na účet Dropboxu. Uložení e-mailových účtů uživatelů v úložišti jednoho ze zaměstnanců není snadno omluvitelné, i když se provozovatelé Dropboxu oficiálně káli a přislíbili, že se situace již nebude opakovat. Uživatelé samozřejmě byli společně s oběma incidenty upozorněni na související rizika.

Dropbox blog
Oficiální oznámení a prohlášení o bezpečnostním incidentu na blogu Dropboxu

Ztraceno v síťovém světě

Letní měsíce jako kdyby byly vyhrazené problémům se službou Dropbox, přesně před rokem totiž vyvstaly otázky ohledně nových podmínek. Osobně odhaduji, že si maximálně jeden z deseti uživatelů při registraci do libovolné webové služby před odsouhlasením detailně pročte všechny podmínky užívání, stejně tak v případě instalace programů zdarma.

Proto pak mohou být překvapeni, že se podobné bezpečnostní problémy vyskytují, ale konkrétní náhrada případné škody je zpravidla v nedohlednu. A i když se v oprávněném návalu rozhořčení rozhodnou se službou skoncovat, jejich digitální stopa kdesi v cloudu zpravidla zůstává napevno vyšlapaná, digitální identity se jen tak neztrácejí. Je proto důležité si uvědomit, že každou další registrací navíc, byť jde o sebespolehlivější a lákavější službu, vzniká prostor pro nové problémy do budoucna. Nejen začínající uživatelé by měli pamatovat na to, že následováním odkazu „Zrušit účet“ v některé službě se informace z webové pavučiny zpravidla najednou neodstraní jako mávnutím kouzelného proutku.

Jakmile dojde k prolomení konkrétní služby (nyní se již nebavíme o Dropboxu, ale veřejném cloudu obecně), bude si cracker jen stěží vybírat pouze ta data, která patří aktuálně aktivním a zaregistrovaným či jinak význačným uživatelům. Pak už nezbývá než doufat, že provozovatel nasadil dostatečně zabezpečené technologie, což ale u zdarma dostupných webových služeb v podmínkách při registraci často pochopitelně nenajdete. Postižitelnou skupinou nejsou jen internetoví trpaslíci, ale i větší sítě s uživatelskými údaji, viz například dřívější kauzy Sony a Sega.

Dropbox
Dropbox se svým klientem patří mezi snadno zvládnutelné nástroje, a tak láká mnoho začínajících uživatelů

Jedno heslo vládne všem

Staré známé přísloví praví, že všechno zlé je k něčemu dobré. Podobně tak i Dropbox po oficiálním přiznání chyby přešel k lepším možnostem zabezpečení, a především na ně upozornil koncové uživatele. Novinku, která by se během několika týdnů měla dočkat realizace, představuje standardní dvoufaktorová autentizace uživatele, tedy možnost přihlášení heslem a dalším prvkem. Sami provozovatelé naznačili, že by mohlo jít například o speciální autentizační a autorizační kódy s omezenou časovou platností, kterou uživatel obdrží na svůj mobilní telefon pomocí SMS zprávy.

WT100 tip v článku Kabátová

Jedná se tedy o stejný princip, s nímž se i běžní uživatelé internetu setkali například u elektronického bankovnictví při potvrzování transakcí či dalších kritických operací. Kromě toho se podle příslibů Dropboxu můžeme těšit také na nový mechanismus pro detekci podezřelých operací, stejně jak je již v provozu specializovaná stránka s přehledem přihlášení. Navíc byli uživatelé upozorněni na nebezpečí spojená s použitím slabých hesel a využíváním stejných přístupových údajů k různým webovým službám – tedy taková obvyklá bezpečnostní osvěta.

Online službám se dnes již prakticky nelze vyhnout, stejně tak případným registracím, které jsou pro další používání nutné, neslouží jen jako další položka v seznamu pro spamování. Než se některé webové aplikaci zdarma upíšeme, zvažme, jestli ji opravdu využijeme. A pokud ne, odložme na chvíli ego stranou, pokud jsme bez dané služby fungovali doteď, půjde to i nadále. Jak jste na tom s webovými službami vyžadujícími registraci vy? Používáte univerzální účet a heslo, nebo raději pro každou stránku generujete/vymýšlíte nové? Podělte se o své zkušenosti s ostatními čtenáři v diskuzi pod článkem.

Našli jste v článku chybu?