אנשי אבטחה שונים טוענים כי דרופבוקס פריץ ובתוכו יש מידע רב של עסקים ואנשים ולכן הוא מהווה מוקד מטרה.
לטענתם, Dropbox חסמה את הפרצות האלה.
dropbox
המומחי אבטחה של החברה האוסטרית טוענים כי השירות יכול לספק מקום מעולה לאחסון קבצים בצורה חשאית במידה והפרצות לא יהיו קיימות, לכן דרופבוקס דאגו לחסום את הפרצות במהירות האפשרית.
החוקרים הצליחו לזייף את קוד ה HASH המהווה את הקוד הייחודי לכל קובץ ובכך להגיע לקבצים שאינם שייכים אליהם כלל, אלא למשתמשים אחרים בשירות הדרופבוקס.
שיטת הפרצה פשוטה יחסית, החוקרים ייצרו קוד רנדומלי של קוד Hash וחיפשו האם יש קובץ עם קוד זהה ואמיתי של Hash והאם הוא מתאים, במידה וכן הם פשוט שייכו את הקובץ לחשבון שלהם על ידי קוד ה Hash.
על ידי ניחוש הם יכלו להגיע לקבצים כאלה ואחרים שאינם ידעו למי הם שייכים, היתרון הוא שהם לא יכלו להגיע לקובץ ספציפי שהם אולי רצו אם הם לא ידעו את הקוד Hash המקורי.
החסרון הוא כמובן הפרצה באופן כללי שתוקנה על ידי Dropbox לטענתם.
שיטת חדירה שנייה די דומה והיא נקראת host ID המזהה את המשתמש (ולא את הקובץ) על ידי קוד זיהוי בדומה ל Hash.
המפתח הוא ממפתח הצפנה של 128 Bit שמיוצר על ידי הענן של דרופבוקס ומכיל שם משתמש, זמן ותאריך התחברות הייחודיים למשתמש.
אם יש זיהוי של המפתח על ידי הפורץ הוא יכול לשנות את המפתח ולשייך אותו לחשבון שלו ובכך להתחזות במערכת בתור המשתמש עצמו.
לאחר הפריצה וסנכרון הדרופבוקס יהיה לפורץ את כל קבצי החשבון שאליו הוא הצליח לגשת.
פרצת האבטחה השלישית היא פרצת אבטחה משולבת המספקת גם היא גישה דרך פרוטוקול ה SSL.
חוקרי האבטחה טענו כי במקום לנסות לפרוץ לארגונים גדולים ולהתאמץ ניתן היה להשיג מהדרופבוקס על ידי ההתפרצות את מגוון הקבצים שהפורץ רצה.
בנוסף הפורצים יכלו לעלות קבצים כמו סוסים טוראיינים וכדומה ללא השארת עקבות, על ידי שימוש במערות הפעלה ניידות ולא מותקנות ישירות שמשאירות פחות עקבות בעת פריצות.
וכאן נשאלת השאלה, האם כדאי לעלות בכלל קבצים בעלי ערך גבוה (מסחרית או אישית) בעלי סיכון שאולי יגנבו ויפרצו?
לפי דעתנו, מומלץ להשתמש בדרופ בוקס בכלליות ופשוט לעלות לשם קבצים בעלי ערך משנים שאם יגנבו חיינו לא יהיו תלויים בכך.
