Компания Dropbox призналась в корпоративном блоге, что рассылка спама двухнедельной давности была осуществлена в результате несанкционированного доступа к некоторым аккаунтам, пароли от которых злоумышленники узнали благодаря массовой утечке паролей с других сайтов.

Для расследования этого инцидента компания Dropbox привлекла независимых экспертов по информационной безопасности, которые и помогли восстановить полную картину происшедшего. Среди прочих, злоумышленники получили доступ к аккаунту одного из разработчиков Dropbox, у которого в папке лежал документ с почтовыми адресами пользователей — именно эта база позволила злоумышленникам осуществить рассылку спама.

Это уже далеко не первая проблема с безопасностью Dropbox за последние два года. Например, в июле 2011 года обнаружилось, что в некоторые аккаунты Dropbox можно зайти с произвольным паролем.

Очевидно, что факт многочисленных взломов недвусмысленно намекает, что систему безопасности сайта нужно кардинально улучшать. Руководство Dropbox это понимает и объявило о введении двухфакторной аутентификации с использованием мобильных устройств. Новую систему введут в строй в течение двух недель.

Кроме двухфакторной аутентификации, внедряются дополнительные меры защиты:

  • Новая страница с указанием активности пользователя, IP-адресами и временем последних случаев входа в аккаунт.
  • Новые автоматизированные механизмы для помощи в выявлении подозрительной активности.
  • Принудительная смена пароля пользователя в определённых условиях (например, если он долго не менялся).



Оставить мнение