Dropbox небезопасен

Сам пользуюсь и многие посетителей данного блога поэтому спешу поделится новостью.

«В популярном инструменте для синхронизации файлов обнаружена уязвимость, позволяющая просматривать файлы всем желающим.

Обнаруженная ошибка, к сожалению, влияет на весь механизм работы Dropbox. Утилита использует простой конфигурационный файл для объединения различных устройств в единую синхронизированную среду. Этот файл называется config.db и представляет собой таблицу базы данных, которая содержит всего три поля: email, dropbox_path и host_id. Последнее поле не относится к определенному хосту и не меняется со временем. Злоумышленники, используя вредоносные программы, могут получить файл config.db и без особых проблем подключиться ко всем папкам пользователя. Dropbox не проверяет количество подключенных компьютеров, поэтому жертва может даже не заметить, что ее файлы украдены.

К сожалению, пока нет никаких средств защиты.»

Оригинал статьи www.xakep.ru/post/55390/
p.s. habrahabr.ru/blogs/infosecurity/117465/

Комментарии (22)

+1
Я правильно понял, что чтобы получить доступ к моим файлам в дропбокс, то предварительно нужно получить доступ к моей системе и скачать оттуда файл config.db?
0
Ну да :)
0
А не легче ли им тогда уж сразу файлики стащить у меня, чем через дропбокс?
0
Ну стащили один раз и что? А тут актуальные версий файлов будут. Вы только кинули в Dropbox и у них все появилось. А таскать каждый раз файлы можно спалится :)
0
Все-таки проблема надумана по большому счету. Если получили доступ к файлам — утащат все что нужно. Если присосутся к дропбоксу — можно легко отследить clip2net.com/s/SV2l
В том же хроме (вроде и в остальных браузерах) все пароли можно посмотреть ко всем сайтам. В том числе и к тому же дропбоксу. И почему-то это никто не считает уявзимостью.
0
я всего лишь новость сообщил :) Можно с битой в гости прийти и вообще весь комп забрать :)
+3
Так могут запалить :D
0
:))))))
+2
А не легче ли им тогда уж сразу файлики стащить у меня, чем через дропбокс?
Не легче. Ведь для этого нужно знать что и где лежит. А файлы дропбокса у большинства людей лежат скорее всего в одинаковом месте.

Я не особый знаток хакерства, но ведь была такая очень распространенная штука, когда автоматический бот через инет забирал у людей пароли от хостингов через дыру в FileZilla. А потом автоматически заходил на эти хостинги и добавлял к кодам сайтов свои строчки.

Точно также какой-нибудь юморист может получать доступ и к аккаунтам дропбокса и например удалять с них всю информацию, ну или что-нибудь похитрее.

Это маленький сигнал для тех, кто еще не установил файерволл.
0
Просто так ничего не произойдет. Никто просто так не будет тратить время на удаления файлов с неизвестного кампа.
0
Большинство вирусов, даже самых вредоносных, были написаны ради развлечения, а не получения какой-то выгоды. :)

Если ты пока не придумал, как можно использовать доступ к куче аккаунтов дропбокса, то это не значит, что кто-то другой не придумает.

Но это всё конечно ерунда, дыру наверняка скоро залатают.
0
я бы сделал ботнет, удаляют все файлы только скрипт-кидди.
0
Какой ужас.
+1
0
0
0
:D
0
Хей! А почему никто SVN (система контроля версий, с логами изменений у кучей очень полезных штук!) не исспользует?

Assembla.com 2 гига дают бесплатно, можно настраивать права доступа и никто кроме тебя и того кому дашь доступ ничего у тебя не скачают.

Кароче нафиг тот dropBox? :)
  • Vel
  • Vel
0
На верное потому что, проще в разы пользоваться, а когда найдеш художника или еще кого с полчаса объясняешь как дропбоксом пользоваться не говоря уж об SVN…
0
Почему не пользуются? Пользуются, деньги за сервис платят и вполне довольны!
www.assembla.com/
beanstalkapp.com/

Сразу отвечу что художники быстро осваивают и пользуются.
0
Да ладно, свн самая простая в мире вешь =) Установил, скачал и все.
Комить/апдейть.
  • Vel
  • Vel
0
самая простая как лопата — это cvs =)
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.