Como si DropBox no hubiera tenido suficiente con la polémica que surgió acerca de la privacidad de nuestros archivos en el servicio, acaban de sufrir una nueva crisis: el domingo sufrió un fallo de seguridad bastante grave que permitió que se pudiera acceder a cualquier cuenta usando cualquier contraseña.
El fallo se dio durante una actualización de código que se realizó ese día a las 13:54, hora del pacífico (22:54 en España), pero no lo descubrieron hasta las 17:41 (2:41 AM del lunes), arreglándolo pocos minutos después. Según dicen desde DropBox, tan sólo un 1% de los usuarios pueden haberse visto afectados, pues fue ese porcentaje el que ingresó durante ese periodo de tiempo.
Por ahora, están realizando una investigación para ver a que cuentas se accedió de manera improcedente. En el caso de que identifiquen actividades inusuales, se lo notificarán a los usuarios afectados inmediatamente, aunque también piden que se pongan en contacto con ellos quienes hayan notado alguna actividad extraña en su cuenta.
<h2>No solo un error de seguridad: también de comunicación</h2>
Este fallo fue primero hecho público por Christopher Soghoian, el mismo que desató la polémica en cuanto al acceso que tenían los empleados de DropBox a los archivos de los usuarios. Sin embargo, más o menos al mismo tiempo, en los foros de DropBox también se había empezado a hablar de él.
La admisión del fallo por parte de DropBox no llegó hasta ayer por medio de un post en su blog, cuando la noticia ya se había extendido. Si un fallo de seguridad de semejante calibre (insisto: se podía acceder con cualquier contraseña a una cuenta) ya es grave, peor se pone el asunto cuando la compañía no informa a sus usuarios con rapidez de lo sucedido.
Si bien es posible que las cuentas afectadas fueran muy pocas (aún no se sabe), la que sí se ha visto afectada es la confianza que despierta el servicio, especialmente por no comunicarlo a tiempo a todos los usuarios. En estos casos, lo mejor es admitir el error cuanto antes y no esperar a que se empiece a regar por la red, sobre todo tratándose de un servicio que es usado por muchos para conservar información sensible.
En el caso de que, tras leer esto, estéis pensando en cambiar de servicio, os recomiendo que reviséis los dos recopilatorios que hizo mi compañero Miguel López acerca de alternativas que podéis usar en lugar de DropBox.
Vía | TechCrunch
Enlace | Comunicado de DropBox
En Genbeta | Tres alternativas de Dropbox a tener en cuenta si estamos considerando cambiar de servicio | Nueve alternativas más
Ver 37 comentarios
37 comentarios
ejner69
Joder, que este año los paranoicos de la nube han tenido temas... ¡y argumentos de peso!
gordonfreeman
Lo mejor es estar en la cama sin nada que hacer. Asi no tienes datos que guardar.
cccccc
Y todavia dicen que la nube es el futuro...
juliopp1
Yo estuve alli! Estaba con un amigo, y le dije... Voy a adivinar tu contraseña. Escribi, tal que d9874$%4h (aporrear el teclado) y entró!
Sabeis lo bien que me pude sentir? Y al otro se le cayo el alma a los pies :P
Last
Ya esto me esta generando desconfianza por parte de Dropbox, la verdad...como es posible un fallo de tal magnitud?
Se imaginan esto en una empresa de otro tipo, tipo cualquier proveedor de correo electrónico?
Quiero pasarme a Spideroak, peor no sé que tal será..., sé que es bueno, pero que tal la velocidad y estabilidad?
Saludos !
electron222
Todos estos servicio en la nube son geniales, pero al parecer están verde en cuestión de seguridad y ese es el punto fuerte que debería tener esos servicios(confiabilidad), ya que se le entrega cosa personales a su custodia. Sera que ahora tambien hay que subirlo cifrado o en un archivo como zip. rar o similar con clave o.0?
digital-m
Me sigue pareciendo increíble que la gente suba determinadas cosas a estos servicios sin un mínimo de cuidado. Es decir encriptar los datos primeros con una herramienta que no sea la que ellos ofrezcan.
Es como si mañana abro una empresa donde guardo una copia de las llaves de casa y le digo a la gente que es un servicio gratuito por si alguna vez las pierden ellos. No creo que venga mucha gente. Sin embargo se tiende a creer con los ojos cerrados que todo lo que nos ofrece internet es gratis y por lo tanto guay y que todo es maravilloso.
Esto no es más que la punta del iceberg. Ya pegará un dio un buen pedo todo.
70628
Acabo de leer la entrada y me quedo alucinado. Soy el responsable de sistemas de nuestra PYME y me he partido la cara porque los usuarios trabajen con DropBox gracias a las ventajas de la nube. Con noticias como esta me quedo, como se dice coloquialmente, "en pelotas". Veo que durante 4 horas archivos importantes de nuestra organización estuvieron al alcance de cualquiera.
Sinceramente, no pienso renovar nuestro servicio con DropBox, acaban de perder una decena de clientes.
josua92
En la programación se podrán dar muchos fallos pero este es GORDO GORDO GORDO.
88184
Una verguenza, amigos. Yo tenia todos mis datos en Dropbox, y aunque ya empezé a dudar con lo de los archivos encirptados, decidí seguir.
Pero esto ya es la gota que colma el vaso. Ya he borrado todos mis archivos (bueno, los he ocultado porque esos no borran NADA) y me he dado de baja. Ahora uso Ubuntu One, que espero que sea más seguro (¿alguien lo ha probado, tiene alguna experiencia positiva/negativa?).
gen-beto
Me acaba de llegar un correo y es por eso que rápidamente entre a genbeta para saber más
Les dejo lo que dice:
Hi [Mi nombre],
We are writing because there was some activity in your Dropbox account that we'd like you to review. On June 19, 2011, there was a brief bug with our authentication system that could have allowed unauthorized access to accounts. You can read more about it at our blog post.
Based on a careful review of our records, we noticed that during the time the bug was in effect you:
Logged into the Dropbox website
As a precautionary measure, we logged you out of the website.
While it's unlikely, we'd like to be cautious and make sure this was you because if the activity was unauthorized, the information in your account could have been improperly accessed. Please review recent activity in your account, which you can access at http://www.dropbox.com/events, and let us know if you find anything suspicious.
We are very sorry and this should never have happened. We are scrutinizing our controls and will be implementing additional safeguards to prevent this from happening again. If you're unable to access your account or have any other questions or concerns, please contact us at support@dropbox.com.
- The Dropbox Team
Simplemente increíble que esto suceda. Ellos mismo se están matando y sobre todo la confianza que le puede tener el usuario a la nube. Me gusta la comodidad que brindan este tipo de servicios pero estar preocupado por estos errores que cada vez son mas frecuentes y por varias empresas, definitivamente tendre que cifrar cada uno de los archivos que suba (True Crypt por ejemplo) y continuar con el respaldo en mis dvd's.
Les dejo el siguiente parrafo de un libro de seguridad informática que leí hace unas pocas semanas:
"El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello"
Gene Spafford
Por cierto, alguien ha probado el servicio de AVG LiveKive?
antoniowap
Si quereis probar SugarSync aqui os dejo el link. yo estoy muy contento con el. Te dan 5 gb gratis (con este link 5,5gb) y si sigues unos primeros pasos te dan 500 MG mas) vamso que 6 gb gratis :D Sugarsync Sirve en Windows, o en mac (tb en moviles de esas compañias) y tiene todas las funciones o de Dropbox incluso 1 o dos mas. Un saludo
hodavame
OK, ya no necesito mas excusas... en este momento estoy eliminando mi cuenda de Dropbox. Ya son demasiados problemas de seguridad.
114240
Lo que hay que hacer es utilizar alguna herramienta complementaria con DropBox para proteger lo que subimos a la nube.
Yo utilizo Prot-On y estoy tranquila porque sé que nadie podría acceder a mis documentos, aunque haya una fuga de información.
114240
Lo que hay que hacer es utilizar alguna herramienta complementaria con DropBox para proteger lo que subimos a la nube.
Yo utilizo Prot-On y estoy tranquila por que sé que nadie podría acceder a mis documentos, aunque haya una fuga de información.
cpcbegin
Si creaste la cuenta de dropbox con alguna cuenta de correo de un servicio que ya no existe, la has cagado.