Como si DropBox no hubiera tenido suficiente con la polémica que surgió acerca de la privacidad de nuestros archivos en el servicio, acaban de sufrir una nueva crisis: el domingo sufrió un fallo de seguridad bastante grave que permitió que se pudiera acceder a cualquier cuenta usando cualquier contraseña.
El fallo se dio durante una actualización de código que se realizó ese día a las 13:54, hora del pacífico (22:54 en España), pero no lo descubrieron hasta las 17:41 (2:41 AM del lunes), arreglándolo pocos minutos después. Según dicen desde DropBox, tan sólo un 1% de los usuarios pueden haberse visto afectados, pues fue ese porcentaje el que ingresó durante ese periodo de tiempo.
Por ahora, están realizando una investigación para ver a que cuentas se accedió de manera improcedente. En el caso de que identifiquen actividades inusuales, se lo notificarán a los usuarios afectados inmediatamente, aunque también piden que se pongan en contacto con ellos quienes hayan notado alguna actividad extraña en su cuenta.
No solo un error de seguridad: también de comunicación
Este fallo fue primero hecho público por Christopher Soghoian, el mismo que desató la polémica en cuanto al acceso que tenían los empleados de DropBox a los archivos de los usuarios. Sin embargo, más o menos al mismo tiempo, en los foros de DropBox también se había empezado a hablar de él.
La admisión del fallo por parte de DropBox no llegó hasta ayer por medio de un post en su blog, cuando la noticia ya se había extendido. Si un fallo de seguridad de semejante calibre (insisto: se podía acceder con cualquier contraseña a una cuenta) ya es grave, peor se pone el asunto cuando la compañía no informa a sus usuarios con rapidez de lo sucedido.
Si bien es posible que las cuentas afectadas fueran muy pocas (aún no se sabe), la que sí se ha visto afectada es la confianza que despierta el servicio, especialmente por no comunicarlo a tiempo a todos los usuarios. En estos casos, lo mejor es admitir el error cuanto antes y no esperar a que se empiece a regar por la red, sobre todo tratándose de un servicio que es usado por muchos para conservar información sensible.
En el caso de que, tras leer esto, estéis pensando en cambiar de servicio, os recomiendo que reviséis los dos recopilatorios que hizo mi compañero Miguel López acerca de alternativas que podéis usar en lugar de DropBox.
Vía | TechCrunch
Enlace | Comunicado de DropBox
En Genbeta | Tres alternativas de Dropbox a tener en cuenta si estamos considerando cambiar de servicio | Nueve alternativas más
Comentarios
Ya esto me esta generando desconfianza por parte de Dropbox, la verdad...como es posible un fallo de tal magnitud?
Se imaginan esto en una empresa de otro tipo, tipo cualquier proveedor de correo electrónico?
Quiero pasarme a Spideroak, peor no sé que tal será..., sé que es bueno, pero que tal la velocidad y estabilidad?
Saludos !
interesante
Y todavia dicen que la nube es el futuro...
Es mucho más seguro llevar los datos en un pendrive en el bolsillo.
es mucho mas seguro q no lleguen a formato digital
Si, porque es imposible que te roben la computadora de tu casa, te secuestren y torturen para acceder a tus datos bancario o entren asaltantes a la sucursal donde está la caja fuerte donde tienes tus joyas
interesante
Es mucho más seguro que no estén ni siquiera en formato "analógico".
Mata a cualquiera que los pueda conocer.
Ironía, supongo :)
sip
¡You win! xD
Usando esa demagogia... o que te torturen para que les des la contraseña de tu dropbox, mail, ordenador, ...
Me parece mucho más difícil que se lleven las joyas de mi banco ( aparte que no tengo joyas... ) ya que tienen seguridad física. Y si alguien las roba, ya pagará el seguro.
Yo ayer mismo probaba la caracteristica de bitlocker de windows 7 en mi pen drive y funciona muy bien en windows vista me falta probar en xp pero es una alternativa...
brillante
Joder, que este año los paranoicos de la nube han tenido temas... ¡y argumentos de peso!
no existe el sitio cien por cien seguro... con lo cual, la nube nunca será segura si quieres tener según que tipo de documentación. Por otro lado, es evidente que los sistemas de seguridad en todas las empresas han de mejorar y mucho, porque hay fallos de seguridad en todas... que si sony, que si dropbox, que si sega... que ahora entran en la web del fbi... Yo creo que para que la nube sea el futuro los sistemas de seeguridad han de mejorar muchísimo, porque sino nos arriesgamos a lo que tenemos en la nube, esté al alcance de cualqueir energúmeno.
interesante
Lo mejor es estar en la cama sin nada que hacer. Asi no tienes datos que guardar.
Acabo de leer la entrada y me quedo alucinado. Soy el responsable de sistemas de nuestra PYME y me he partido la cara porque los usuarios trabajen con DropBox gracias a las ventajas de la nube. Con noticias como esta me quedo, como se dice coloquialmente, "en pelotas". Veo que durante 4 horas archivos importantes de nuestra organización estuvieron al alcance de cualquiera.
Sinceramente, no pienso renovar nuestro servicio con DropBox, acaban de perder una decena de clientes.
Si te sirve de consuelo, alguien en Dropbox ha perdido su trabajo... porque vaya fallo!
22 Comentario moderado
10Luego algunos seremos unos paranoicos con la nube, pero es que razón no nos faltaba. Dar tus datos alegremente a cualquier empresa es un peligro. Que lo haga un usuario normal para guardar, que sé yo, por ejemplo unos marcadores de Firefox es una cosa ( y yo aún así no lo haría ), pero que desde una empresa se dejen datos sensibles y que esto sea promocinado por el informático de turno... Luego nos extrañamos de cosas como lo de Sony, es lo mismo que esto pero en vez de en una PYME en una gran corporación xD
POR FAVOR BORRAR, DUPLICADO
-- editado por última vez a las 10:34
Si me permites una opinión desde afuera creo que es un error que se usen servicios destinados al público masivo para un uso corporativo (estoy hablando del público al que se dirigen no si son gratuitos o de pago), sea yahoo, gmail o dropbox. Uno destinado al mercado empresario está menos expuesto y más enfocado a la seguridad. Hace años yo tenía un sitio de una empresa armado con Joomla en un hosting barato. Esa versión de Joomla tenía mas agujeros de seguridad que un colador y me denunciaron de un banco extranjero por pishing. La única respuesta del Hosting fue cerrarme la cuenta y que me las arreglara solo. Contraté otro especializado en servicios corporativos (más caro) y en cuanto intentaron volver a hacerme algo en el sitio lo detectaron y me avisaron. Por cierto y aunque no tenga nada que ver nunca volví a usar Joomla
-- editado por última vez a las 10:35
23 Comentario moderado
30Por lo que vi en dropbox la única diferencia entre sus servicios es la capacidad de almacenamiento
En la programación se podrán dar muchos fallos pero este es GORDO GORDO GORDO.
24 Comentario moderado
10Yo estuve alli! Estaba con un amigo, y le dije... Voy a adivinar tu contraseña. Escribi, tal que d9874$%4h (aporrear el teclado) y entró!
Sabeis lo bien que me pude sentir? Y al otro se le cayo el alma a los pies :P
Una verguenza, amigos. Yo tenia todos mis datos en Dropbox, y aunque ya empezé a dudar con lo de los archivos encirptados, decidí seguir.
Pero esto ya es la gota que colma el vaso. Ya he borrado todos mis archivos (bueno, los he ocultado porque esos no borran NADA) y me he dado de baja. Ahora uso Ubuntu One, que espero que sea más seguro (¿alguien lo ha probado, tiene alguna experiencia positiva/negativa?).
Me acaba de llegar un correo y es por eso que rápidamente entre a genbeta para saber más
Les dejo lo que dice:
Hi [Mi nombre],
We are writing because there was some activity in your Dropbox account that we'd like you to review. On June 19, 2011, there was a brief bug with our authentication system that could have allowed unauthorized access to accounts. You can read more about it at our blog post.
Based on a careful review of our records, we noticed that during the time the bug was in effect you:
Logged into the Dropbox website
As a precautionary measure, we logged you out of the website.
While it's unlikely, we'd like to be cautious and make sure this was you because if the activity was unauthorized, the information in your account could have been improperly accessed. Please review recent activity in your account, which you can access at http://www.dropbox.com/events, and let us know if you find anything suspicious.
We are very sorry and this should never have happened. We are scrutinizing our controls and will be implementing additional safeguards to prevent this from happening again. If you're unable to access your account or have any other questions or concerns, please contact us at support@dropbox.com.
- The Dropbox Team
Simplemente increíble que esto suceda. Ellos mismo se están matando y sobre todo la confianza que le puede tener el usuario a la nube. Me gusta la comodidad que brindan este tipo de servicios pero estar preocupado por estos errores que cada vez son mas frecuentes y por varias empresas, definitivamente tendre que cifrar cada uno de los archivos que suba (True Crypt por ejemplo) y continuar con el respaldo en mis dvd's.
Les dejo el siguiente parrafo de un libro de seguridad informática que leí hace unas pocas semanas:
"El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello"
Gene Spafford
Por cierto, alguien ha probado el servicio de AVG LiveKive?
Pues mi colección de porno no le interesó a nadie
Eh! porque no me sé tu cuenta!!! :P
26 Comentario moderado
8Todos estos servicio en la nube son geniales, pero al parecer están verde en cuestión de seguridad y ese es el punto fuerte que debería tener esos servicios(confiabilidad), ya que se le entrega cosa personales a su custodia. Sera que ahora tambien hay que subirlo cifrado o en un archivo como zip. rar o similar con clave o.0?
Si quereis probar SugarSync aqui os dejo el link. yo estoy muy contento con el. Te dan 5 gb gratis (con este link 5,5gb) y si sigues unos primeros pasos te dan 500 MG mas) vamso que 6 gb gratis :D Sugarsync Sirve en Windows, o en mac (tb en moviles de esas compañias) y tiene todas las funciones o de Dropbox incluso 1 o dos mas. Un saludo
He leído buenos comentarios de SugarSync, lo voy a probar, con tu link ;)
Me sigue pareciendo increíble que la gente suba determinadas cosas a estos servicios sin un mínimo de cuidado. Es decir encriptar los datos primeros con una herramienta que no sea la que ellos ofrezcan.
Es como si mañana abro una empresa donde guardo una copia de las llaves de casa y le digo a la gente que es un servicio gratuito por si alguna vez las pierden ellos. No creo que venga mucha gente. Sin embargo se tiende a creer con los ojos cerrados que todo lo que nos ofrece internet es gratis y por lo tanto guay y que todo es maravilloso.
Esto no es más que la punta del iceberg. Ya pegará un dio un buen pedo todo.
OK, ya no necesito mas excusas... en este momento estoy eliminando mi cuenda de Dropbox. Ya son demasiados problemas de seguridad.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect