Dropbox var vidåpen i fire timer

Dropbox var vidåpen i fire timer

Natt til tirsdag var alle brukerkontoer i lagringstjenesten åpne for alle.

Dropbox klarte å skru av passordautentisering for alle sine 25 millioner brukerkonti mandag kveld. Ifølge selskapet var det færre enn én prosent, eller 250.000 konti, som ble rammet. De undersøker fortsatt om noen konto faktisk ble forsøkt cracket.

Det var rundt klokka 23.00 mandag kveld norsk tid at ny kode ble lagt til, som førte til at autentiseringsfunksjonen fikk problemer og etter hvert falt ut for alle konti. Det tok Dropbox fire timer å oppdage at noe var feil. Da ble alle brukerne kastet ut og en fiks ble lagt til som gjenintroduserte autentisering.

- Skulle ikke skje

I de fire timene kunne alle som kjente et brukernavn hos Dropbox logge seg inn uten passord.

- VI undersøker nå grundig all aktivitet for å finne ut om noen konto ble rammet. Dette var en feil som ikke skulle skje. Vi gjennomgår alle overvåkingsrutiner og legger til sikkerhetsmekanismer som skal sørge for at dette aldri skjer igjen, sier Arash Ferdowsi, teknisk direktør i Dropbox, i følge Computerworlds nyhetstjeneste.

På nett har debatten gått mellom sikkerhetsorienterte, vanlige brukere og de som ser på dette som en gratistjeneste der du får den sikkerheten du betaler for.

Dr.Stud. Christopher Soghoian fra Universitet i Indiana varslet om tilfellet først. Han har gjort seg et navn som varsler, blant annet at krypteringsløsningen til Dropbox innebar at alle filer kunne dekrypteres av selskapet selv. Det gjør fillagringen sårbar for overvåkning blant annet fra nysgjerrige myndigheter. Han sto også bak avsløringen av svartmalingskampanjen Facebook planla mot Google tidligere i vår.

Les mer: Dropbox-data ikke hemmelige likevel

Kritikk

Andre brukere mener at de burde fått en melding om dette før, og ikke bare de som var logget inn i perioden. Andre mener at det uansett ikke er særlig fornuftig å bruke en nettskybasert, gratis lagringstjeneste til å lagre sensitive data.

Den som er opptatt av å fortsette å bruke dette verktøyet for synkronisering og samarbeid, har flere utveier. Det er snakk om å bruke kryptering. Hvordan verktøy som TrueCrypt kan brukes til det finnes her.

Les om: