(Foto: Computerworld)

Sådan skal du ikke håndtere en sikkerhedsbrist

Dropbox’ uheldige håndtering af en sikkerhedsbrist betød, at en lang række brugeres e-mail-adresser faldt i kløerne på it-kriminelle. Det er et skoleeksempel på, hvordan man ikke skal gøre, hvis man tager sine kunders sikkerhed alvorligt, mener sikkerhedsekspert Rik Ferguson fra it-sikkerhedsfirmaet Trend Micro.

6. august 2012 kl. 13.04

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

For få dage siden erkendte Dropbox, at firmaet ved en fejltagelse var kommet til at lække en række af sine kunders e-mail-adresser. Sammen med denne meddelelse fulgte et løfte om, at Dropbox nu bestemt vil gøre alvor af sine intentioner om at forbedre sikkerheden. Blandt andet ved hjælp af to-faktor-autentificering samt forskellige mekanismer til at spore mistænksom adfærd.

Men kan du overhovedet stole på en udbyder, der kunne lade en så graverende sikkerhedsbrist ske i første omgang?

Ifølge Rik Ferguson, der er sikkerhedsekspert hos Trend Micro, er Dropbox’ håndtering af sikkerhedsbristen i hvert fald et skoleeksempel på, hvordan man ikke skal gøre.

»Som jeg ser det, er der flere foruroligende elementer i selve hændelsen, og hvordan den efterfølgende er håndteret. Hvorfor har en medarbejder brugt rigtige brugerdata i sine projekter? Og hvordan kan det være, at den pågældende medarbejder bruger den samme adgangskode flere steder,« skriver Rik Ferguson på sin blog.

Almindelig sikkerhedspraksis

Rik Ferguson mener, at Dropbox har forbrudt sig mod almindelig sikkerhedspraksis på flere områder. Blandt andet kritiserer han, at firmaet har sendt e-mails til kunder med besked om at ændre adgangskode sammen med et link til en nulstillingsformular. Det er en metode, der flittigt benyttes af kriminelle, som forsøger at lure personlige oplysninger ud af folk.

Han undrer sig desuden over, at Dropbox skriver, at brugere med en svag eller almindelig adgangskode vil blive bedt om at ændre den. At Dropbox ikke ved, om brugerens adgangskode er sikker eller ej, kan nemlig meget vel betyde, at brugernes adgangskoder ikke opbevares i krypteret form.

Kan føre til phishing og alvorlig kriminalitet

Tilsyneladende har lækagen indtil videre ”kun” betydet, at enkelte brugere er begyndt at modtage betydelige mængder spam på deres e-mail-adresse. Men ifølge Rik Ferguson kan det nemt føre til langt værre ting.

»Dropbox-brugere bør være opmærksomme på phishing-angreb i fremtiden. Lækagen vil før eller siden blive udnyttet af kriminelle. Dette er endnu et glimrende eksempel på, hvorfor det er vigtigt aldrig at bruge den samme adgangskode mere end et sted,« skriver Rik Ferguson.

Rik Fergusons kritik kan læses i fuld længde her.