Dropbox ha reagito quando i buoi erano ormai scappati dalla stalla. Gli utenti del servizio che consente l’hosting dei file “in the cloud” è nel bel mezzo della bufera dopo un brutto incidente avvenuto domenica scorsa. Un bug introdotto in seguito all’applicazione di un aggiornamento relativo alla piattaforma, ha reso tutti gli account degli utenti registrati accessibili senza l’utilizzo della corrispondente password. Bastava che un malintenzionato conoscesse l’indirizzo e-mail di un utente “abbonato” al servizio per accedere al suo account e fare razzia di qualunque genere di file, compresi i contenuti privati.
Secondo quanto riferito, il problema si sarebbe manifestato, consecutivamente, addirittura per circa quattro ore lasciando gli account degli utenti in balìa di eventuali aggressori. Con un comunicato ufficiale (ved. questa pagina), Dropbox si è scusata per quanto accaduto – “non sarebbe mai dovuto accadere“, ha osservato il portavoce della società – spiegando che l’incidente avrebbe coinvolto un ristretto numero di utenti. “Stiamo comunque compiendo un’accurata verifica tesa anche a controllare che non vi siano account utente utilizzati da terzi senza ricorrere alla password corretta“, si precisa da Dropbox. “Nel caso in cui dovessimo rilevare attività irregolari, provvederemo ad inviare una notifica ai proprietari di ogni singolo account“.
Non è la prima volta che Dropbox “scivola” su questioni legate alla sicurezza dei dati. Proprio di recente la FTC (Federal Trade Commission) americana era stata chiamata ad esprimersi sulla bontà del servizio in relazione alle metodologie tecniche utilizzate per proteggere i dati caricati online dagli utenti (ved. questo nostro articolo in proposito). Secondo le accuse mosse da un ricercatore accademico, Christopher Soghoian, sebbene i file caricati su Dropbox siano automaticamente crittografati ricorrendo all’algoritmo AES-256 e trasmessi attraverso un canale sicuro (SSL), i dipendenti della società avrebbero comunque accesso alle chiavi e sarebbero in grado, quindi, di mettere le mani su informazioni di proprietà altrui. E ciò, sempre stando alle eccezioni sollevate da Soghoian, Dropbox avesse precedentemente dichiarato il contrario
Proprio di recente, noi avevamo spiegato come crittografare i file caricati su Dropbox utilizzando un software opensource qual è TrueCrypt: grazie ad esso è infatti possibile fare in modo che i dati inviati “in the cloud” non possano essere utilizzati da persone non autorizzate (ved. il nostro servizio in proposito). Tra i servizi rivali di Dropbox maggiormente agguerriti e più promettenti c’è Wuala che però richiede, per funzionare, la presenza del pacchetto Java JRE sul sistema in uso.