Jednou připojené počítače smějí přistupovat k Dropboxu bez hesla.
Bezpečnostní specialista Derek Newton objevil v on-line paměti Dropbox bezpečnostní mezeru. Ve Windows obsažený klient služby pro ovládání „oblačné“ paměti si vyžádá přístupová data uživatele pouze jednou a tyto údaje pak jako posloupnost číslic uloží do konfiguračního souboru v lokálním počítači. Pokud nějaký trojský kůň tento soubor odcizí, stačí to podle Newtona k otevření Dropbox účtu na jiném počítači. Chip zkusil útok napodobit a zjistil, že nepomůže samotná změna hesla, neboť přístupová ID v konfiguračním souboru přesto zůstane v platnosti. Teprve když je neoprávněný počítač v konfiguraci na webové stránce Dropboxu vymazán, přestane soubor platit. Programátoři Dropboxu nemohou „fígl“ kolem nalezené chyby vysledovat. Poněkud nicotné odůvodnění zní, že pro získání přístupu ke konfiguračnímu souboru musí útočník nejprve obejít jiné bezpečnostní systémy, například virový skener. Že však tato možnost principiálně existuje, připouští firma také. Zvláště u nesledovaného počítače se dá soubor snadno zkopírovat – bezpečnostní závora neexistuje. V příštích verzích chce výrobce citlivý soubor chránit lépe. Do té doby je však soubor volně přístupný, a tedy bez ochrany. Chip vám ale poradí, jak se můžete ubránit sami.
Bezpečně bez aktualizace: Pomůže šifrování
Jako první krok pro jistotu odstraňte všechna spojení Dropboxu se synchronizovanými počítači, a to prostřednictvím konfigurační stránky na dropbox.com pod »Account | My Computers«. V dalším kroku byste měli všechna citlivá data zašifrovat freewarem BoxCryptor (boxcryptor.com), který byl vyvinut speciálně pro Dropbox. Kdyby někdo k vašemu Dropboxu přece jen získal přístup, vaše data pro něho nebudou čitelná.
video
