حسابهای کاربری دراپ باکس با شیوه مهندسی معکوس به سرقت رفت
دراپ باکس فضای ابری خوبی است اما به نظر نمیرسد در زمینه امنیت، نفوذ ناپذیر باشد.
دراپ باکس فضای ابری خوبی است اما به نظر نمیرسد در زمینه امنیت، نفوذ ناپذیر باشد. یک روز کد پروتکل مجوزهای آن شکسته میشود، روز دیگر سایتی به حساب کاربران آن دست مییابد و حالا هم چند پژوهشگر حوزه امنیت موفق به دور زدن سامانه حفاظتی دراپ باکس شده اند.
این خبر میتواند هشدار مهمی باشد برای کاربران، به ویژه آنهایی که کارشان به خدمات ابری دراپ باکس وابستگی بیشتری دارد.
چطور در و پیکر دراپ باکس را باز کرده اند؟
ظاهراً این محققان نیت بدی نداشته اند و فقط میخواستند توانایی شان را اثبات کنند که البته موفق هم شده اند. آنها با مهندسی معکوس اپلیکیشن دسکتاپ این سرویس ذخیره سازی ابری، باعث تعجب جامعه توسعه دهندگان شده اند.
مهندسی معکوس یا کشف روند توسعه یک اپ با وارونه کردن مسیر ساخت محصول نهایی آن، کار معمولی است اما کسی فکر نمیکرد دراپ باکس در این زمینه تا این حد آسیب پذیر باشد. اپلیکیشن دراپ باکس، به زبان پایتون نوشته شده و در آن به شدت از کدهای مخفی استفاده شده ولی باز هم مانع این پژوهشگران نشده:
ما روشی درست کردیم تا با آن مجوز دو قسمتی دراپ باکس را دور بزنیم و حسابها را سرقت کنیم. علاوه بر این، تکنیکهای عمومی برای رهگیری دادههای SSL با استفاده از فنون تزریق کد و وصله میمون هم ارائه کردیم.
درواقع آنها موفق شدند بدون دست کاری در سورس کدهای اصلی دراپ باکس آن را به میل خود تغییر دهند که این میتواند بسیار خطرناک باشد. آنها توانسته اند از سد امنیتی دو مرحله ای دراپ باکس بگذرند و حسابهای کاربران را سرقت کنند. حالا هم با انتشار روش کار خود هکرهای خرابکار را وسوسه کرده اند.
با این حساب باید دید چه بلایی سر حجم عظیم دادههای ذخیره شده در این فضای ابری محبوب میآید؟ آیا شما هم با شنیدن اخباری از این دست فکر میکنید همان راهکارهای سنتی کماکان امن ترند؟ حداقل بهتر است قبل از بارگزاری اطلاعات خود روی حساب دراپ باکس، آنها را رمزنگاری کنید.
