Dropbox, una password vale l'altra

Il servizio di condivisione e backup "tra le nuvole" apre i cancelli delle sue "casseforti" private a chiunque, a qualunque password digitata. Il problema è causato da un bug di programmazione, dura poco ma le polemiche infuriano
Il servizio di condivisione e backup "tra le nuvole" apre i cancelli delle sue "casseforti" private a chiunque, a qualunque password digitata. Il problema è causato da un bug di programmazione, dura poco ma le polemiche infuriano

Non bastassero le polemiche sulle pratiche di sicurezza recentemente adottate da Dropbox, il servizio di cloud storage più in voga del momento deve gestire l’ennesimo incidente pubblico sotto forma di baco nella programmazione e conseguente accesso libero a tutti i “box” personali degli utenti.

L’upgrade infrastrutturale apportato da Dropbox questa domenica ha infatti avuto la spiacevole conseguenza di invalidare la richiesta della password di accesso, di modo che chiunque avrebbe potuto accedere a ognuno dei 25 milioni di account registrati sul servizio con la semplice digitazione di un una keyword scelta a caso.

Dropbox dice di essere impegnata in una “indagine approfondita” su quanto è accaduto e sull’eventuale attività di accesso non autorizzato registrata sui singoli account. “Una cosa del genere non sarebbe mai dovuta accedere – si scusano da Dropbox – Stiamo esaminando attentamente i nostri controlli e implementeremo misure di sicurezza aggiuntive per evitare che capiti ancora”.

Le stime della società parlano di un 1% di account “aperti” nelle quattro ore in cui il baco software è risultato attivo , e nei casi in cui fossero state usate credenziali false Dropbox ha provveduto a “forzare” la chiusura della connessione per evitare ulteriori danni ai dati degli utenti.

Il nuovo problema di Dropbox solleva ancora una volta critiche sull’infrastruttura di sicurezza adoperata dalla società, un sistema in cui le chiavi di cifratura usate per la blindatura dei dati sono immagazzinate sui server del servizio piuttosto che sul PC del client.

Un approccio che non cessa di far discutere e non solo per Dropbox, visto che anche le istanze pubbliche di macchine virtuali pensate per il servizio Web Services di Amazon (Amazon Machine Images) possono esporre dati sensibili, password e chiavi di cifratura al pubblico accesso.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

22 06 2011
Link copiato negli appunti