Home » Sikkerhed » Sådan skal du ikke håndtere en sikkerhedsbrist
Sådan skal du ikke håndtere en sikkerhedsbrist

Sådan skal du ikke håndtere en sikkerhedsbrist

Share

Dropbox’ uheldige håndtering af en sikkerhedsbrist betød, at en lang række brugeres e-mail-adresser faldt i kløerne på it-kriminelle. Det er et skoleeksempel på, hvordan man ikke skal gøre, hvis man tager sine kunders sikkerhed alvorligt, mener sikkerhedsekspert Rik Ferguson fra it-sikkerhedsfirmaet Trend Micro

For få dage siden erkendte Dropbox, at firmaet ved en fejltagelse var kommet til at lække en række af sine kunders e-mail-adresser. Sammen med denne meddelelse fulgte et løfte om, at Dropbox nu bestemt vil gøre alvor af sine intentioner om at forbedre sikkerheden. Blandt andet ved hjælp af to-faktor-autentificering samt forskellige mekanismer til at spore mistænksom adfærd.

Men kan du overhovedet stole på en udbyder, der kunne lade en så graverende sikkerhedsbrist ske i første omgang?

Ifølge Rik Ferguson, der er sikkerhedsekspert hos Trend Micro, er Dropbox’ håndtering af sikkerhedsbristen i hvert fald et skoleeksempel på, hvordan man ikke skal gøre.

Se også:  Nyt i Dropbox: Upload fotos automatisk og skift format

»Som jeg ser det, er der flere foruroligende elementer i selve hændelsen, og hvordan den efterfølgende er håndteret. Hvorfor har en medarbejder brugt rigtige brugerdata i sine projekter? Og hvordan kan det være, at den pågældende medarbejder bruger den samme adgangskode flere steder,« skriver Rik Ferguson på sin blog.

Almindelig sikkerhedspraksis

Rik Ferguson mener, at Dropbox har forbrudt sig mod almindelig sikkerhedspraksis på flere områder. Blandt andet kritiserer han, at firmaet har sendt e-mails til kunder med besked om at ændre adgangskode sammen med et link til en nulstillingsformular. Det er en metode, der flittigt benyttes af kriminelle, som forsøger at lure personlige oplysninger ud af folk.

Han undrer sig desuden over, at Dropbox skriver, at brugere med en svag eller almindelig adgangskode vil blive bedt om at ændre den. At Dropbox ikke ved, om brugerens adgangskode er sikker eller ej, kan nemlig meget vel betyde, at brugernes adgangskoder ikke opbevares i krypteret form.

Se også:  Nyt i Dropbox: Upload fotos automatisk og skift format

Kan føre til phishing og alvorlig kriminalitet

Tilsyneladende har lækagen indtil videre ”kun” betydet, at enkelte brugere er begyndt at modtage betydelige mængder spam på deres e-mail-adresse. Men ifølge Rik Ferguson kan det nemt føre til langt værre ting.

»Dropbox-brugere bør være opmærksomme på phishing-angreb i fremtiden. Lækagen vil før eller siden blive udnyttet af kriminelle. Dette er endnu et glimrende eksempel på, hvorfor det er vigtigt aldrig at bruge den samme adgangskode mere end et sted,« skriver Rik Ferguson.

Rik Fergusons kritik kan læses i fuld længde her.


TAGS
dropbox
Trend Micro

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2021
Privatlivspolitik og cookie information - Audio Media A/S