23:05
17/7/2012

Użytkownicy Dropbox informują na oficjalnym forum o spamie pojawiającym się na ich kontach e-mail. Nie byłoby w tym nic dziwnego, gdyby nie fakt, że problem ten dotyczy skrzynek pocztowych, które przez niektórych użytkowników są wykorzystywane wyłącznie do obsługi tej aplikacji.

Wyciek e-maili z Dropbox?

Niechciane wiadomości reklamujące kasyno Euro Dice Exchange skierowane są głównie do użytkowników z Niemiec (w danych konta mają kraj ustawiony jako Niemcy) i Wielkiej Brytanii. Pracownicy Dropboxa sugerują, że adresy e-mail mogły zostać upublicznione poprzez dzielenie się wspólnym folderem lub podczas zapraszania nieznajomych przez linki referencyjne. Nie jest jednak jasne, dlaczego zjawisko to ujawniło się dopiero teraz i to od razu w takiej skali.

Dropbox

Dropbox

W grę wchodzi zarówno włamanie na serwery Dropboksa, jak i np. sniffing na routerach brzegowych któregoś z popularnych europejskich (niemieckich?) providerów. Cokolwiek by nie było powodem, na pewno warto poświęcić chwilę na posprzątanie swojego Dropboksa i zmianę hasła.

Czy ktoś z Was otrzymał niedawno spam na dropboksowy adres e-mail? O odpowiedź prosimy tylko osoby, które zarejestrowały dropboksa na unikalny, nigdzie indziej nie wykorzystywany e-mail.

Nie jest to pierwszy problem w historii Dropbox. Nieco ponad rok temu pisaliśmy o awarii, która sprawiła, że do aplikacji można było zalogować się bez podania poprawnego hasła. Wtedy usterkę szybko naprawiono. Jeśli e-maile faktycznie wyciekły, ciężko będzie Dropboksowi naprawić skutki takiej wpadki…

PS. O tym jak walczyć ze spamerami przy użyciu unikalnych adresów e-mail pisaliśmy parę miesięcy temu, kiedy namierzyliśmy jednego ze spamerów i w ramach ugody przedsądowej przekonaliśmy go do wpłacenia 1000 PLN na dom dziecka.

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. dropboxa mam na mało używanym koncie, generalnie spam-free, i nic nowego mi wpadło w spamboxa w tym tygodniu. jeszcze ;)

  2. [..] osoby, które zarejestrowały dropboksa na unikalny, nigdzie indziej nie wykorzystywany e-mail

    ps. oczywiście + opcje catch all na off

  3. mam dodaną etykietę na obu kontach, żaden spam nie dotarł

  4. UUU, po co ja podawałem mój główny adres e-mail :/ Dodatkowo – nie korzystam z Dropboxa, ale konto mam założone…

  5. Mam dropboxa zarejestrowanego na czystym od spamu koncie email i jest dalej czysty

  6. Jaka aplikacje mozecie polecic do generowania i zarzadzania hasel ? chce wdrozyc rozne hasla do roznych serwisow.a

    • Wybacz, ze w krotkich slowach, ale tak w przelocie:
      LastPass: wieloplatformowy, klient do każdej przeglądarki plus parę dodatkowych, bezpieczny i ułatwia życie niepomiernie :)

  7. Ojoj… Jak ja sie ciesze ze pozbylem sie dropboxa wieki temu ;)… Ufff…

    Wiecie o tym mykensie ze do dropboxa autentyfikuje was pliczek z 8 znakowym (nie jestem pewny czy na pewno 8) kluczem? Klucz znajduje sie nie pamietam gdzie. Gdzies w folderze z danymi programu w folderach konta uzytkownika. Teraz mykens polega na tym ze kod ten generowany jest jednorazowo (!) i nawet jesli zmieni sie haslo do dropboxa – kod pozostaje ten sam. Jesli ktos uzyska dostep do kompa moze sobie taki pliczek skopiowac a potem wrzucic go do swojego foldera z ustawieniami pliku i boom… Ma dostep do waszego dropboxa nawet jesli zmienicie haslo. Nie wiem czy nadal tak jest ale tak bylo do niedawna…

    “______And what he determined by experimentation is that the only thing that identifies you to Dropbox is the host_id_____. There is no other lockage of that file to a given system. And so what he posted – and again, I learned about this from people saying in Twitter, hey, Steve, what do you think about this? And this has been a constant flow for the last couple weeks. And I mentioned last week that I hadn’t had a chance to dig into this, but I would, to look into it and verify it. So I did want to follow up for everyone who’s been wondering.

    So what _______this means is that, if you weren’t protecting this file, or if anything got onto your system which was able to grab this file through social engineering attack or spyware or malware, whatever, if you lost control of that file such that it was in any way exfiltrated from your control, then that file can be installed on any other system. And that provides the sole authentication of you, the instance of you, to Dropbox such that, with no other information, no username, password, no logon, anything, that authenticates that new system______. And there is – it doesn’t appear as a new machine in the set of machines that you have authorized to use. It’s merely a clone of that first one, which then has full access, unencrypted access, to your Dropbox contents. Which to me says these guys aren’t really looking at security.”

    Zrodlo: grc.com/sn/sn-297.htm jest tam rowniez MP3 dla tych ktorzy czytac nie lubia. Odcinek starszy – troche czasu juz minelo od czasu jego nagrania i byc moze ze Dropbox zmadrzal i poprawil swoje podejscie do zagadnien zwiazanych z bezpieczenstwem ale z tego co widze chyba raczej “niezazbytnio” im to wychodzi… SpiderOak FTW…

    Pozdrawiam.

    Andrzej

    • to bardzo ciekawe – muszę spradzić. ale na litość boską – “autentyfikuje”? co to za słowo?

    • niech ktoś napisze jakiś tl;dr

    • niebezpiecznik też o tym pisał :)
      https://niebezpiecznik.pl/post/dropbox-niebezpieczne-uwierzytelnianie/

    • @ Matja – przepraszam ja czasem tak mam ;)
      @ nietaki – wiedzialem ze gdzies to widzialem kurcze… Eh… Albo oczy albo pamiec juz nie ta
      @ Daniel – it to zmieni Ci host_id? No to jedno dobre w calym tym balaganie…

      Pozdrawiam.

      Andrzej

  8. Ja tyle spamu dostaję mailowo, że kilka kolejnych maili w jedną czy drugą stronę nie robi mi różnicy. Grunt to mieć dobrze wytrenowany filtr antyspamowy :-).

    • Ja podobnie. Do wszystkiego używam jednej skrzynki na którą schodzą maile z wielu adresów a z spamem nie mam problemów :]

  9. Na rzadko używany mail nic nie dostałem od tygodnia.
    @AndrzejL: zawsze można w ustawieniach odlinkować swoją maszynę i zlinkować ją na nowo w razie włamania na komputer i atakujący nic nie zrobi z owym pliczkiem.

  10. Mam podobny problem, tyle że nie z Dropboxem, ale z Urzędem Dzielnicy Ursus :) Podczas rejestrowania działalności podałem unikalny adres mailowy i teraz od czasu do czasu otrzymuję na niego informacje zupełnie niezwiązane z pracą urzędu (spam reklamowy).

    Ciekaw jestem, czy urząd ma w ogóle prawo udostępniać takie informacje osobom postronnym i czy jest to planowe działanie czy też może efekt radosnej twórczości poszczególnych pracowników. Gdyby ktoś miał informacje na ten temat – chętnie przeczytam.

    • Urzędy nie mogą przekazywać bazy firm dla innych podmiotów (ochrona danych osobowych), obecnie wdrażana jest centralna ewidencja. Ale wynoszenie baz zdarza się jak najbardziej. Ostatnio czytałem jak burmistrz kazał pracownicy (zeznała w sądzie) skopiować bazę nowo powstałych firm, aby przekazać do zaprzyjaźnionego banku.

    • Firmy nie podlegaja ustawie o ochronie danych osobowych i ich dane sa jawne

    • To się zmieniło – afair wyłączenie działalności jednoosobowych.

    • Faktycznie zmienilo sie.Oddaje honor.

  11. spam przyszedl 2 dni po rejestracji w dropbox, wrzucilem na czarna liste i spokoj

  12. Ja mam dropboxa na skrzynce, której mi nie żal (czyt. rejestruję na nią rzeczy potrzebne na chwilę), ale niedawno zacząłem odsiewać spam i nie pojawiło się nic “nowego”. Swoją drogą muszę zacząć rejestrować adresy w formie skrzynka+adres@domena.com, bo dostaję spam zaraz po rejestracji w serwisach, które zarzekają się że nie przetwarzają baz i nie przekazują.

  13. Wyciek czy kradzież tylko ładnie ujęta w słowach?

  14. @autor:
    O tym jak walczyć ze spamerami przy użyciu unikalnych adresów e-mail pisaliśmy parę miesięcy temu[…]

    “unikalny” = “możliwy do uniknięcia”

    “unique” = “niepowtarzalny”

    Uprasza się o unikanie bezmyślnej kalki z angielskiego ;-)

  15. @up
    http://sjp.pwn.pl/szukaj/unikalny

    “Uprasza się o unikanie bezmyślnej kalki z angielskiego ;-)”
    Uprasza się rozpocząć naukę języka polskiego.

  16. […] jak niedawno pisaliśmy o tym, że użytkownicy Dropbox, na e-maile użyte tylko do założenia konta na Dropboksie, otrzymują spam? Podejrzewano wtedy wyciek bazy z serwisu, ale Dropbox po wstępnej analizie wykluczył włamanie. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.