Artikel top billede

(Foto: Computerworld)

Sådan skal du ikke håndtere en sikkerhedsbrist

Dropbox’ uheldige håndtering af en sikkerhedsbrist betød, at en lang række brugeres e-mail-adresser faldt i kløerne på it-kriminelle. Det er et skoleeksempel på, hvordan man ikke skal gøre, hvis man tager sine kunders sikkerhed alvorligt, mener sikkerhedsekspert Rik Ferguson fra it-sikkerhedsfirmaet Trend Micro.

Af Rasmus Elm Rasmussen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

For få dage siden erkendte Dropbox, at firmaet ved en fejltagelse var kommet til at lække en række af sine kunders e-mail-adresser. Sammen med denne meddelelse fulgte et løfte om, at Dropbox nu bestemt vil gøre alvor af sine intentioner om at forbedre sikkerheden. Blandt andet ved hjælp af to-faktor-autentificering samt forskellige mekanismer til at spore mistænksom adfærd.

Men kan du overhovedet stole på en udbyder, der kunne lade en så graverende sikkerhedsbrist ske i første omgang?

Ifølge Rik Ferguson, der er sikkerhedsekspert hos Trend Micro, er Dropbox’ håndtering af sikkerhedsbristen i hvert fald et skoleeksempel på, hvordan man ikke skal gøre.

»Som jeg ser det, er der flere foruroligende elementer i selve hændelsen, og hvordan den efterfølgende er håndteret. Hvorfor har en medarbejder brugt rigtige brugerdata i sine projekter? Og hvordan kan det være, at den pågældende medarbejder bruger den samme adgangskode flere steder,« skriver Rik Ferguson på sin blog.

Almindelig sikkerhedspraksis

Rik Ferguson mener, at Dropbox har forbrudt sig mod almindelig sikkerhedspraksis på flere områder. Blandt andet kritiserer han, at firmaet har sendt e-mails til kunder med besked om at ændre adgangskode sammen med et link til en nulstillingsformular. Det er en metode, der flittigt benyttes af kriminelle, som forsøger at lure personlige oplysninger ud af folk.

Han undrer sig desuden over, at Dropbox skriver, at brugere med en svag eller almindelig adgangskode vil blive bedt om at ændre den. At Dropbox ikke ved, om brugerens adgangskode er sikker eller ej, kan nemlig meget vel betyde, at brugernes adgangskoder ikke opbevares i krypteret form.

Kan føre til phishing og alvorlig kriminalitet

Tilsyneladende har lækagen indtil videre ”kun” betydet, at enkelte brugere er begyndt at modtage betydelige mængder spam på deres e-mail-adresse. Men ifølge Rik Ferguson kan det nemt føre til langt værre ting.

»Dropbox-brugere bør være opmærksomme på phishing-angreb i fremtiden. Lækagen vil før eller siden blive udnyttet af kriminelle. Dette er endnu et glimrende eksempel på, hvorfor det er vigtigt aldrig at bruge den samme adgangskode mere end et sted,« skriver Rik Ferguson.

Rik Fergusons kritik kan læses i fuld længde her.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere