2011年6月21日 星期二

那4小時任何密碼都能登入Dropbox!雲端服務安全意外又一樁

dropbox-01

常看電腦玩物的朋友都知道我很喜歡使用雲端服務,不過今年以來各種雲端服務發生的安全問題也確實有點多得令人警惕,例如密碼管理服務「Lastpass」的被攻擊意外。雖然這些事件目前都尚未真正造成大量無可挽回的悲劇,但是當雲端科技即將成為普及工具前,在自我管理、對外防護上確實還有許多需要進步的地方;起碼在世界末日來臨前,還是要造個方舟因應一下才算善盡人事。

而今天遭遇資安問題的,則是現在非常受歡迎,在台灣也有廣大用戶群的雲端檔案同步服務:「Dropbox」,而且這次是Dropbox自己犯下錯誤而差一點造成大危機。

根據Dropbox官方部落格的說明:「Yesterday’s Authentication Bug」,在太平洋時間6月19日的下午1點54分,因為Dropbox內部更新而引發用戶登入認證上的錯誤,結果造成可能在那段時間用「任何密碼」都能登入用戶帳號!!Dropbox在下午5點41分發現這個問題,並且在5點46分修復,也就是說在將近四個小時的時間裡,用戶帳號被放置在具有極大潛在危險的情況下。

 

 

Dropbox說法還是有一點點模糊,它們提到大概只有不到1%的用戶可能會受到影響,但是沒有提到這個登入錯誤會造成所有人都能用任何密碼登入所有帳號嗎?還是只有某些帳號受影響?

TechCrunch」的報導則引用了首先發現這個問題的來源,提到該用戶發現自己居然可以用錯誤的密碼登入自己的Dropbox,甚至也可以用任何密碼登入朋友的Dropbox!當然,是在那天的那4個小時之間。

 

 

回到Dropbox的官方聲明中,他們目前已經將「在那4個小時中」登入的帳戶全部「強制登出」,並且提到接下來將緊密追蹤用戶帳號的登入與使用情況,如果有異常會主動提醒用戶。在這裡我也提醒大家,接下來一兩天最好多多關注一下自己Dropbox的情況,注意有沒有異常使用情況。

當然,Dropbox「發誓」他們以後不會再犯這樣的錯誤,而當然我也不會因此就不使用Dropbox(參考:Dropbox 雲端資料同步軟體能用來幹嘛?10個我最常被滿足需求),只是各個雲端服務的安全問題確實是值得被更加的重視,雖然我知道有些問題不是簡單就能解決,但我也不希望自己真的要用「TrueCrypt」加密整個資料夾再同步。

 

 

因為這次的問題看起來最終的影響應該不大,所以最後我們還是可以說笑一下。

其實仔細想想,在現在與未來的網路世界中,「他人」將是關鍵因素,不管是社群中透過人與人之間的信任來傳播資訊,或是雲端工具中透過人與人之間的信任來提供服務,在Web 3.0中我願意讓「他人」來告訴我什麼是重要的內容,我也願意讓「他人」來幫我管理重要資料,因為這樣的效果、效率都最好。

在這樣的網路時代,其實科技再次把主導權還給了人,而我們就必須在網路中建立起新的人際互動結構,這裡面可能包含了新的道德觀等等元素,而這些潛規則的醞釀,或許比制定所謂的HTML5共通標準還要更難但也更重要。

17 則留言 :

  1. 使用什麼服務都有風險在,尤其是雲端服務,使用者更應該有防險的認知

    回覆刪除
  2. 像 dropbox 啊,lastpass 啊,都不能抱以绝对的信任

    回覆刪除
  3. Dropbox在下午5點41分發現這個問題,並且在5點46分修復...醬是4個小時??...

    回覆刪除
  4. Dropbox在下午5點41分發現這個問題,並且在5點46分修復,也就是說在將近四個小時的時間裡,用戶帳號被放置在具有極大潛在危險的情況下。
    数学真差,这是5分钟好不好

    回覆刪除
  5. LeoZhu:
    6月19日的
    下午1點54分錯誤
    下午5點41分發現
    下午5點46分修復
    是4小時多啊

    回覆刪除
  6. 在太平洋時間6月19日的下午1點54分,因為Dropbox內部更新而引發用戶登入認證上的錯誤,在下午5點41分發現這個問題,並且在5點46分修復

    近四個小時是沒錯的。

    回覆刪除
  7. 那是4小時,因為在1:54pm update時就有問題了,不過Dropbox在下午5點41分才發現,用了5分修埋~~~
    (我希望Dropbox下次有問題可要早發現~~~~)

    回覆刪除
  8. 呵呵,我應該多加上「才發現」才對
    以免有些讀者看到誤解了XD

    回覆刪除
  9. 在太平洋時間6月19日的下午1點54分,因為Dropbox內部更新而引發用戶登入認證上的錯誤
    下午5點41分發現
    下午5點46分修復
    是232分鐘將近4個小時好嗎
    看不懂繁體字就不要亂吠

    回覆刪除
  10. 在這樣的網路時代,其實科技再次把主導權還給了人
    這句話說的真是~~太~~有深度了 @.@
    我喜歡 ^..^

    回覆刪除
  11. 感謝你如此細心(+耐心)的看到了那一句話!!!

    回覆刪除
  12. 看了許多這種粗心或漏洞我覺得
    還是不要將太重要的東西放在雲端服務

    人會犯錯,人做的東西也跟著犯錯..
    但我仍然 ♥ Dropbox ♥

    回覆刪除
  13. 公司的資料差點就有機會往生了..........

    回覆刪除
  14. XD 這次真的是很可怕,希望Dropbox能好好警惕,才不往用戶們對他的信任

    回覆刪除
  15. 就是有人看文章自己不仔細,急著怪別人。

    回覆刪除
  16. 不好意思~想請問有人跟我一樣嗎?
    在更新版本到5.0之後...
    所有的瀏覽歷史紀錄都不見了
    包括分頁組群也都沒了!
    嗚嗚嗚嗚~好後悔升級阿

    回覆刪除
  17. 罵人數學差的馬上就消聲匿跡了,也不會道個歉,俗辣

    回覆刪除

相關文章: