Lỗ hổng Dropbox: Đăng nhập không cần mật khẩu

Hôm 20/6, Dropbox đã dính sự cố bảo mật nghiêm trọng: Cho phép người dùng đăng nhập tài khoản bất kì với mật khẩu tùy chọn.

Lỗ hổng Dropbox: Đăng nhập không cần mật khẩu

Thông tin trên Pastebin đã thuật lại một vấn đề bảo mật nghiêm trọng của Dropbox: Trong một thời gian ngắn, dịch vụ này cho phép người dùng đăng nhập vào các tài khoản với mật khẩu bất kì. Nói cách khác, bạn có thể đăng nhập vào tài khoản của người khác chỉ bằng cách gõ địa chỉ email của người đó.

Trong khi nhiều người phó thác cho Dropbox những dữ liệu quan trọng (một trong những lợi điểm của Dropbox là tính bảo mật), thì đây thực sự là một vấn đề nghiêm trọng.

Thông tin này được đăng tải trên Pastebin bởi Christopher Soghoian, tiến sỹ của trường Đại học Indiana. Người này đã từng chỉ trích Dropbox vì miêu tả không chính xác hoạt động bảo mật của công ty (Dropbox tuyên bố nhân viên công ty không thể xem dữ liệu lưu trữ của người dùng, nhưng thực tế một số ít nhân viên được trao đặc quyền quản trị). Soghoian không tự phát hiện ra lỗi mật khẩu của Dropbox mà được thông báo từ một người bạn. Ông giữ bí mật về nguồn thông tin này.

Theo Christopher Soghoian, việc phát hiện ra vấn đề bảo mật hoàn toàn tình cờ. Bạn của Soghoian cập nhật mật khẩu Dropbox và sau đó “gõ thừa một ký tự” vào mật khẩu nhưng vẫn đăng nhập được. Sau khi thử vài lần với tài khoản của mình, anh ta tiếp tục thử nghiệm với tài khoản của hai người bạn khác và vẫn đăng nhập được 2 tài khoản này với mật khẩu chỉ có 1 ký tự. Người này liên lạc với đội hỗ trợ của Dropbox để thuật lại vấn đề gặp phải. Anh ta đã nhận được phản hồi từ Arash Ferdowsi, Giám đốc Công nghệ của Dropbox. Arash yêu cầu người thông báo thử đăng nhập lại bằng mật khẩu bất kì. Khi được xác nhận là không còn đăng nhập bằng mật khẩu bất kì được nữa, Arash gửi thêm một phản hồi khác có thể làm những sử dụng Dropbox phải sửng sốt:

Chỉ có một trục trặc trong chốc lát và điều này sẽ không thể tái diễn. Cảm ơn vì email thông báo của ông.

Dropbox đã xác nhận dịch vụ thực sự gặp sự cố nêu trên vào ngày hôm qua và lỗi này diễn ra trong khoảng 4 giờ.

Câu hỏi đặt ra là bao nhiêu người bị ảnh hưởng? Dropbox tuyên bố: “ít hơn 1%” người dùng đăng nhập vào thời điểm xảy ra sự cố, và tất cả các phiên làm việc hiện giờ đều bị đăng xuất để đề phòng bảo mật. Quá trình điều tra cho kết quả là không có tài khoản này bị truy cập trái phép, và nếu có, những người bị ảnh hưởng sẽ được thông báo."

Thứ Tư, 22/06/2011 16:30
31 👨 831
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp