Thông tin trên Pastebin đã thuật lại một vấn đề bảo mật nghiêm trọng của Dropbox: Trong một thời gian ngắn, dịch vụ này cho phép người dùng đăng nhập vào các tài khoản với mật khẩu bất kì. Nói cách khác, bạn có thể đăng nhập vào tài khoản của người khác chỉ bằng cách gõ địa chỉ email của người đó.
Trong khi nhiều người phó thác cho Dropbox những dữ liệu quan trọng (một trong những lợi điểm của Dropbox là tính bảo mật), thì đây thực sự là một vấn đề nghiêm trọng.
Thông tin này được đăng tải trên Pastebin bởi Christopher Soghoian, tiến sỹ của trường Đại học Indiana. Người này đã từng chỉ trích Dropbox vì miêu tả không chính xác hoạt động bảo mật của công ty (Dropbox tuyên bố nhân viên công ty không thể xem dữ liệu lưu trữ của người dùng, nhưng thực tế một số ít nhân viên được trao đặc quyền quản trị). Soghoian không tự phát hiện ra lỗi mật khẩu của Dropbox mà được thông báo từ một người bạn. Ông giữ bí mật về nguồn thông tin này.
Theo Christopher Soghoian, việc phát hiện ra vấn đề bảo mật hoàn toàn tình cờ. Bạn của Soghoian cập nhật mật khẩu Dropbox và sau đó “gõ thừa một ký tự” vào mật khẩu nhưng vẫn đăng nhập được. Sau khi thử vài lần với tài khoản của mình, anh ta tiếp tục thử nghiệm với tài khoản của hai người bạn khác và vẫn đăng nhập được 2 tài khoản này với mật khẩu chỉ có 1 ký tự. Người này liên lạc với đội hỗ trợ của Dropbox để thuật lại vấn đề gặp phải. Anh ta đã nhận được phản hồi từ Arash Ferdowsi, Giám đốc Công nghệ của Dropbox. Arash yêu cầu người thông báo thử đăng nhập lại bằng mật khẩu bất kì. Khi được xác nhận là không còn đăng nhập bằng mật khẩu bất kì được nữa, Arash gửi thêm một phản hồi khác có thể làm những sử dụng Dropbox phải sửng sốt:
“Chỉ có một trục trặc trong chốc lát và điều này sẽ không thể tái diễn. Cảm ơn vì email thông báo của ông.”
Dropbox đã xác nhận dịch vụ thực sự gặp sự cố nêu trên vào ngày hôm qua và lỗi này diễn ra trong khoảng 4 giờ.
Câu hỏi đặt ra là bao nhiêu người bị ảnh hưởng? Dropbox tuyên bố: “ít hơn 1%” người dùng đăng nhập vào thời điểm xảy ra sự cố, và tất cả các phiên làm việc hiện giờ đều bị đăng xuất để đề phòng bảo mật. Quá trình điều tra cho kết quả là không có tài khoản này bị truy cập trái phép, và nếu có, những người bị ảnh hưởng sẽ được thông báo.
Điều Dropbox cần quan tâm nhất là vấn đề bảo mật. Công ty này đã tăng trưởng mạnh trong năm ngoái và được cho là có giá trị khoảng 1,5 – 2 tỷ USD. Nhưng tất cả sự tăng trưởng này tùy thuộc vào những khách hàng tin tưởng dịch vụ. Nếu khách hàng bắt đầu lo lắng rằng các bảng tính Excel, dữ liệu ngân hàng, hay tin nhắn riêng tư có thể bị tiết lộ, họ sẽ chuyển sang dùng dịch vụ khác.
Có thể hầu hết mọi người không quá quan tâm việc các nhân viên Dropbox có thể truy cập các tệp tin của họ hay không (suy cho cùng thì đối với các dịch vụ của Google và Facebook cũng vậy). Nhưng việc một hệ thống xác thực chấp nhận mật khẩu sai là điều không thể hiểu được. Lỗ hổng bảo mật vừa rồi của Dropbox khó chấp nhận được đối với những người dùng dành ưu ái và niềm tin cho dịch vụ này. Giả sử công bố của Dropbox là chính xác (không có tài khoản Dropbox nào bị truy cập trái phép) đi nữa, thì việc Dropbox để cho dữ liệu của khách hàng có khả năng bị xâm phạm theo cách đó thực sự không thể chấp nhận được.
Theo TechCrunch, Geek.com
.svg){kind=icon}
