Tag Archive: Dropbox


dropbox-account-hack

Ahora que más que nunca la seguridad en internet está puesta en entredicho por parte de los expertos, el gigante Dropbox acaba de reconocer el hackeo masivo de sus servicios en el año 2012, tras el robo de las credenciales a un empleado, aunque no ha sido hasta esta semana cuando ha urgido a los usuarios afectados a cambiar sus contraseñas. En la entrada del blog corporativo, la firma resta peso al incidente ocurrido en el pasado: “No creemos que ninguna cuenta haya sido accedida de forma incorrecta”, explican pero según parece, el impacto del robo de identidades es mucho más serio y afectaría a más de 60 millones de cuentas.

Lo peor del asunto es que, en la fecha en la que se produjo el robo de identidad, Dropbox reconoció que únicamente se habían filtrado las direcciones de correo de una parte de los usuarios, pero hoy hemos sabido que los hackers también se hicieron con sus contraseñas, y de forma masiva además. Desde Dropbox se insiste en que no hay indicios de que haya accesos no autorizados a sus clientes, pero sin embargo, es muy recomendable que los usuarios del servicio cambien sus contraseñas y aprovechen por emplear alguna más segura y emplear la verificación en dos pasos disponible en la configuración del servicio.

 > Cómo saber si nuestra cuenta está afectada

La firma ha ido incrementando las medidas de seguridad de su servicio a lo largo de los años, pero este ‘agujero’ que arrastra desde 2012 ha dejado al descubierto millones de cuentas. ¿Está la tuya afectada? En principio y según informan los portavoces de Dropbox, únicamente los que hayan recibido un correo electrónico de la compañía instando a cambiar la contraseña serían los afectados. Sin embargo, los que no las tengan todas consigo pueden comprobar on-line si su cuenta ha sido víctima de un robo, y no sólo en este servicio, mediante una web creada al efecto por un experto en seguridad.

¿Qué hacer si nuestra cuenta ha sido víctima del robo? Realmente, lo único y más urgente que puede hacer el usuario es cambiar su contraseña en el menú de configuración de Dropbox y asegurarse que la verificación en dos pasos está activada. Como consejo adicional, se recomienda al usuario que no emplee la misma contraseña en diferentes servicios para, al menos, limitar los daños en el caso de robo de identidades.

Fuente | El País

Anuncios

e32cc80bf07915058ce90722ee17bb71-snowdens-advice-drop-facebook-google-and-dropbox-for-better-privacy

Hace unos días, Edward Snowden salió de nuevo en público desaconsejando servicios como Dropbox, Google o Facebook si te preocupa tu privacidad. A estas alturas ya todos conocemos el escándalo de la NSA y cómo los tentáculos de la agencia estadounidense llegan a cualquier sitio.

Pero, ¿cuál es la base técnica para esas afirmaciones? ¿Cómo podemos saber si nuestros datos son privados o no, o si alguien más aparte de nosotros puede leerlos? Vamos a tratar de dar respuesta a esas preguntas.

La teoría en este sentido es fácil: si tú no estás cifrando y protegiendo tus datos, entonces alguien más podría leerlos. Si Dropbox no te pide una clave para descifrar tus archivos, entonces es posible que puedan husmearlos. Si puedes enviar un mensaje a través de Gmail sin poner una contraseña de cifrado, entonces alguien más podría leer ese mensaje (y no sólo el destinatario).

Tus datos no son 100%* privados si no tienes tú exclusivamente la clave de cifrado de los mismos

(*) la privacidad dependerá siempre de múltiples factores, es imposible asegurar la seguridad al 100%

Alguno pensará que sí tenemos la clave: al final todas nuestras cuentas tienen una contraseña, ¿no? En realidad, muy pocas veces se usa nuestra contraseña para cifrar los datos. Sólo hay que hacer la prueba: ¿te deja el servicio en cuestión recuperar tu cuenta si has olvidado tu contraseña? Si la respuesta es sí, entonces tus datos no están cifrados con ella. Si lo estuviesen, entonces no podrías recuperar nada (ningún algoritmo de cifrado tiene una opción “He olvidado la clave”).

Por poner un ejemplo de este último caso: mirad las páginas de “Recuperación de cuenta” de Lastpass o Spideroak: hay alguna posibilidad de recuperar tu cuenta si tienes clientes todavía conectados, pero en general, si no hay contraseña, no hay datos.

> Y aparte de la clave, ¿cómo de seguros están nuestros datos?

Este apartado es el que menos dudas nos debería generar. En general, todos los datos que enviamos están cifrados desde nuestro ordenador hasta los servidores de destino. Normalmente la tecnología es HTTPS o TLS si no son páginas web. Cuando navegamos por Facebook, por ejemplo, nadie puede puede ver lo que envías porque la conexión es segura, igual que no podrían ver los archivos que subes a Dropbox, ya que usan conexiones cifradas.

Una vez que tus datos llegan a sus servidores, podemos considerar que están bastante seguros. Cada empresa implementa medidas de seguridad para evitar intrusiones en sus servidores, aparte de cualquier cifrado adicional que pueda haber. Además, tanto Google como Dropbox cifran las conexiones entre sus servidores cuando necesitan mover datos de un sitio a otro. Facebook también lo hace, pero no con todas las conexiones.

> En la práctica: que no cunda la paranoia

Está muy bien que todos nos sepamos la teoría y podamos distinguir cuándo estamos depositando nuestra confianza en un algoritmo criptográfico fiable y cuándo en una empresa que dice proteger nuestros datos. Ahora bien, tampoco debemos ponernos en un estado de paranoia 100% y empezar a buscar alternativas y cifrar nuestros datos por todas partes. Os planteo varias reflexiones:

Primera cuestión

¿De quién quieres proteger tus datos? Si es de los crackers – uno se resiste a hacerle caso a la RAE con este nombre -, tranquilo, estás a salvo. Dropbox, Google, Facebook, Microsoft y similares usan tecnología segura para transmitir tus datos. Y no porque lo diga yo: si no lo hicieran, con la cantidad de gente que hay tratando de buscarles las cosquillas ya nos habríamos enterado.

Segunda cuestión

¿Estás seguro de que los servicios que usas son el eslabón más débil de la cadena? No sirve de nada usar un servicio como SpiderOak si luego tus archivos están guardados en un portátil sin contraseña. Es un ejemplo extremo, pero sirve para ilustrar la idea.

Tercera cuestión

¿Dónde ponemos el límite de la confianza? ¿No nos fiamos de grandes empresas pero creemos que una más desconocida sí va hacer lo que promete? O mejor aún: ¿no nos fiamos de ninguna empresa pero pensamos que nosotros haremos un mejor trabajo manteniendo nuestra propia nube con soluciones como OwnCloud? No quiero arrojar dudas sobre nada, pero desde luego no deberíamos dejarnos llevar por la histeria de X es inseguro sin darle vueltas a las alternativas.

Cuarta cuestión

¿Qué datos estamos compartiendo? Muchas veces no nos importa compartir ciertos datos a cambio de recibir el servicio, y eso no tiene por qué ser necesariamente malo. Por ejemplo, Facebook sabe que vivo en Madrid y que me gustan las matemáticas. ¿Y? El problema no es tanto compartir los datos sino no ser consciente de ello.

Por último, cuando hablamos de nuestra privacidad solemos criticar el poder de ciertos gobiernos para ver nuestros datos sin autorización. En ese caso, la solución no es que nosotros tengamos que cambiar nuestros hábitos, la solución es que los gobiernos estén más controlados. Tener derecho a la privacidad no significa que tengamos que protegernos de ciertas agencias (ni de nadie) para mantenerla.

Fuente | Genbeta

dropbox

En un post de su blog, DropBox ha publicado el fallo de seguridad que le ha llevado a cerrar temporalmente el servicio de compartición de carpetas de forma “Secreta” entre usuarios debido a un par de fallos de seguridad que podrían dejar expuestas todas las cosas que se comparten por Dropbox.

Lo cierto es que la compartición de carpetas Dropbox se basa en que alguien conozca la URL o no, lo que lleva a que si por casualidad, o por una fuga de información, esa URL cae en manos de terceros, toda la privacidad se fue al garete. La cantidad de URLs de carpetas de Dropbox que estaban indexadas en Google por una mala configuración de las etiquetas de indexación en el servicio, que a día de hoy todavía tiene 1.510.000 URLs de carpetas al alcance de cualquiera.

En este caso Dropbox ha reconocido que hay dos situaciones en las que el enlace acaba haciéndose público y ha deshabilitado muchos de los enlaces y cambiado la forma de crear esos enlaces. Estas son las dos situaciones que describe en su post donde podrían quedar expuestos los enlaces.

> Situación 1:

Esta es la situación principal por la que se ha cambiado el sistema y que estaba siendo aprovechada por mucha gente.

– Alguien comparte un carpeta en la que hay un documento, por ejemplo un PDF.
– La persona que recibe en el enlace de la carpeta abre el documento PDF desde la URL compartida.
– En el documento PDF hay un enlace que lleva a http://www.securitcrs.com
– En las estadísticas de http://www.securitcrs.com aparece la URL de la carpeta compartida en Dropbox.

Por seguir el ejemplo genérico, las estadísticas de http://www.securitcrs.com son públicas, y pueden ser indexadas por cualquier buscador, por lo que la URL no solo cae en unas estadísticas privadas, sino que queda expuesta a todo Internet, siendo una causa más de ese 1.510.000 URLs indexadas en Google.

> Situación 2:

La situación 2 es más curiosa y divertida. Consiste en que alguien pone la URL de la carpeta privada de Dropbox en el cuadro de búsqueda de Google en lugar de en la barra de direcciones del navegador.

Pues bien, en ese caso la URL es pasada a los anunciantes, así que todos ellos pueden hacer una búsqueda en sus logs para localizar URLs del tipo dropbox.com/s/* y ver qué ha sido buscado por allí.

> Para terminar

Evidentemente utilizar la URL como forma de protección para compartir documentos de forma secreta no es lo más recomendable ya que al final podría llegar a acabar en manos de cualquiera que hiciera hacking con buscadores. Si haces un uso extensivo de Dropbox tal vez deberías pensar en soluciones de compartición de documentos de forma protegida. Hay hasta soluciones como Prot-ON que permiten aplicar políticas de seguridad a documentos compartidos de forma pública.

Por supuesto, Dropbox debería hacer algunas cosas más para evitar esta indexación masiva de documentos de sus clientes, ya que dependiendo de muchos factores el número de situaciones que pueden darse para que la URL acabe expuesta son muchas. Por eso sería recomendable que DropBox se encargara de:

1) Borrar todas las URLs que están indexadas en los buscadores. No solo el 1.510.000 indexadas en Google, sino las que haya también en Bing donde hay 68.500. No sea que se le olvide como al equipo de Gmail y se deje allí esas URLs.

2) Aplicar la etiqueta Meta HTML NoIndex y NoCache para evitar que el código HTML sea indexado.

3) Poner en las cabeceras de sus servidores web la X-Tag-NoIndex para evitar que se indexen URLs de cualquier otro contenido, como fotos o documentos comprimidos.

Fuente | elladodelmal

 

A %d blogueros les gusta esto: