Dropbox acaba de hacer público un problema de seguridad que afectaba a los documentos compartidos, y que permitiría acceder a personas no autorizadas a dicho archivo. El error aparecía cuando alguien con permisos para ver el documento hacía click en un hipervínculo colocado dentro del mismo, un enlace que permitiría acceder al webmaster de la web de destino al fichero compartido. Fuente: https://blog.dropbox.com/2014/05/web-vulnerability-affecting-shared-links/
#1:
Lo mas recomendable cuando se usan "nubes", es cifrar por tu cuenta los archivos, y después subirlos. De ese modo, lo peor que puede pasar es que se pierdan, o eliminen por errores, pero el interior de dichos ficheros quedará inaccesible.
#3:
#2 ¿Pero qué te pasa a ti, mi alma? Me recuerdas a mi suegra cuando busca arañazos en el coche para echármelo en cara delante de la familia...
#17:
#1 Cuentale eso a un usuario estándar que usa un servicio de estos para tener las fotos en el movil y el ordenador.. Este tipo de cosas o vienen hechas o no valen de nada en la mayoría de la sociedad moderna.
Lo mas recomendable cuando se usan "nubes", es cifrar por tu cuenta los archivos, y después subirlos. De ese modo, lo peor que puede pasar es que se pierdan, o eliminen por errores, pero el interior de dichos ficheros quedará inaccesible.
#1 Cuentale eso a un usuario estándar que usa un servicio de estos para tener las fotos en el movil y el ordenador.. Este tipo de cosas o vienen hechas o no valen de nada en la mayoría de la sociedad moderna.
#4#6 No lo conocía, gracias por la recomendación. Lo bueno es que tiene cliente de escritorio para windows, linux, algo que muchas nubes no tienen.
#14 Aunque use google drive, lo único malo que tiene es que me genera mucha desconfianza que quieras un servicio y ya que estamos, te damos de alta en todo lo que tenemos. A mi me tienen hasta las narices con los avisitos de G+.
Este problema me resulta familiar (y ya lo he explicado aquí varias veces)
Cuando tenía un blog en los espacios de MSN me pasó algo parecido.
Envié por mail el enlace de mi blog a una persona, entonces en las estadísticas del blog me apareció su visita con un link a su bandeja de entrada tipo...
Me da por pinchar ese link y por arte de magia entré a su bandeja de entrada. Podía ver sus correos, contactos, etc.
Esto solo pasaba cuando la otra persona tenía la bandeja abierta en su navegador.
Avisé de la incidencia a microsoft y a la empresa donde trabajaba. Aún estoy esperando que alguien me dé las gracias por avisar del bug
También uso Copy y desde luego que son mucho más generosos que Dropbox. Estos o se ponen las pilas o dentro de nada van a pagarle sus tarifas cuatro gatos.
Copy te da de entrada 15 GB gratis y 5 GB extra por recomendación. Si entras desde este link, tendrás 20 GB gratis de por vida ampliables por recomendación: https://copy.com?r=N4J1lt
#6 Pues no me salen los 5 gb extra, a pesar de que cuando me registré me decía que era candidato a los 5 gb. Qué hice mal?
Nada, tenía que verificar el mail... Solucionado
#6 Aun ofreciendo menos funcionalidad y accesibilidad, para tener tamaño de almacenamiento me sigo quedando con Google Drive. 15GB de entrada gratis y 100GB por 2$ al mes, suficiente para tener backup cifrado de fotos por ejemplo. Eso sí, en cuanto a posibilidades y aspecto cuidado Dropbox le sigue dando mil patadas.
#14 No sé qué fotos tenéis vosotros para tener que cifrarlas, pero en Google+ (aka Picasa) las fotos de hasta 2048px (suficientes para el común de los mortales) no ocupan espacio, por lo que puedes tener cuantas quieras
#5 Este tipo de noticias suelen caducar en cuestión de minutos u horas. Es normal que ya puedas acceder, no pueden permitirse desactivar un servicio tan esencial a nivel global tanto tiempo.
Tienes que haber sido víctima de un atacante con conocimientos y suficientemente inteligente para darse de cuenta de esto (Que ya es difícil viendo el panorama)
Acceder al link para regalar tu auth_token
Y que alguien obtenga una URL de un shared file con permisos y acceder "saltandoselos" utilizando el auth_token que te ha robado.
O eso he entendido en la noticia, ¿no?
Muy difícil que se haya dado el caso. De todos modos, no entiendo como la gente utiliza estas mierdas.
Si tu compartes algo de tu Dropbox "públicamente", Dropbox te da un enlace. Tu ese enlace se lo das a quien quieras.
El problema es que si el contenido que compartes tiene un enlace a otra web y alguien pincha, a la web de destino le llega como referer el enlace al contenido compartido. Ni admin, ni auth_token ni nada.
#27 no todo el mundo es capaz de descifrar archivos cifrados PGP porque no tienen esa constumbre o no tienen el programa instalado o saben usarlo. Por contra, los sistemas de correo con módulos PGP incorporados sí son más fáciles de encontrar y más utilizados.
Y no hablo de Dropbox, sino de sistemas de consignas en general. Claro, que si la empresa tiene un crypt&share público, pues para qué queremos más, pero no siempre es así, por desgracia.
Algunos sistemas de consigna hay muy voluntariosos que solo permiten ser leidos desde fuera de la organización si son subidos desde dentro y desde dentro si son subidos desde fuera. Eso significa que cualquiera de dentro puede ver el archivo que te mandan desde fuera y cualquiera de fuera puede ver el archivo que tú expones. Pero qué se le va a hacer, ya el dpto que lo lleva te dice q no ofrece apenas seguridad, pero es que no hay otra forma. Al final casi que acabas mandando DVDs por mensajero o pidiendo que vaya un trabajador a la otra empresa a reocgerlos.
#16 los zips con contrasenya solo cifran los datos del fichero, aun sin saber la contrasenya se pueden ver los nombres de fichero lo cual es bastante triste.
Si vas a pasar la clave con PGP, para eso cifras los documentos tambien con PGP.
#19 No todos los servicios de correo aceptan archivos de gran tamaño. Por eso hay que utilizar otro tipo de sistemas intermedios como consignas temporales.
Comentarios
Lo mas recomendable cuando se usan "nubes", es cifrar por tu cuenta los archivos, y después subirlos. De ese modo, lo peor que puede pasar es que se pierdan, o eliminen por errores, pero el interior de dichos ficheros quedará inaccesible.
#1 Cuentale eso a un usuario estándar que usa un servicio de estos para tener las fotos en el movil y el ordenador.. Este tipo de cosas o vienen hechas o no valen de nada en la mayoría de la sociedad moderna.
Lo cachondo es que todos sus supergeeks no se han dado cuenta hasta ahora
http://www.washingtonpost.com/blogs/innovations/wp/2014/02/14/dropboxs-hiring-practices-explain-its-disappointing%E2%80%8B-lack-of-female-employees/
#2 ¿Pero qué te pasa a ti, mi alma? Me recuerdas a mi suegra cuando busca arañazos en el coche para echármelo en cara delante de la familia...
#3 en el mundo real soy normal, en algún lado me tengo que desquitar
Pues yo uso Copy y no tengo estos problemas...
Por cierto, relacionada: Lo que se comparte por Dropbox al alcance en Google
Lo que se comparte por Dropbox al alcance en Googl...
elladodelmal.com#4 #6 No lo conocía, gracias por la recomendación. Lo bueno es que tiene cliente de escritorio para windows, linux, algo que muchas nubes no tienen.
#14 Aunque use google drive, lo único malo que tiene es que me genera mucha desconfianza que quieras un servicio y ya que estamos, te damos de alta en todo lo que tenemos. A mi me tienen hasta las narices con los avisitos de G+.
¿Esto es como cuando mirabas el log de tu servidor web y te encontrabas HTTP referers del tipo ftp://user:password@ftp.example.com/readme.txt?
Este problema me resulta familiar (y ya lo he explicado aquí varias veces)
Cuando tenía un blog en los espacios de MSN me pasó algo parecido.
Envié por mail el enlace de mi blog a una persona, entonces en las estadísticas del blog me apareció su visita con un link a su bandeja de entrada tipo...
Me da por pinchar ese link y por arte de magia entré a su bandeja de entrada. Podía ver sus correos, contactos, etc.
Esto solo pasaba cuando la otra persona tenía la bandeja abierta en su navegador.
Avisé de la incidencia a microsoft y a la empresa donde trabajaba. Aún estoy esperando que alguien me dé las gracias por avisar del bug
donde este un ftp que se quiten estas gafapastadas
También uso Copy y desde luego que son mucho más generosos que Dropbox. Estos o se ponen las pilas o dentro de nada van a pagarle sus tarifas cuatro gatos.
Copy te da de entrada 15 GB gratis y 5 GB extra por recomendación. Si entras desde este link, tendrás 20 GB gratis de por vida ampliables por recomendación: https://copy.com?r=N4J1lt
#6 Pues no me salen los 5 gb extra, a pesar de que cuando me registré me decía que era candidato a los 5 gb. Qué hice mal?
Nada, tenía que verificar el mail... Solucionado
#11 Tienes que tener 20 GB. Tardará unos segundos quizás...
#6 Aun ofreciendo menos funcionalidad y accesibilidad, para tener tamaño de almacenamiento me sigo quedando con Google Drive. 15GB de entrada gratis y 100GB por 2$ al mes, suficiente para tener backup cifrado de fotos por ejemplo. Eso sí, en cuanto a posibilidades y aspecto cuidado Dropbox le sigue dando mil patadas.
#14 Yo he probado muchos servicios en la nube, google drive también y he pagado 3 años en Dropbox por 100 GB y hace unas semanas lo he dejado.
#14 Para backup de fotos mejor flickr, da un montón de espacio (no sé si 1 Tb o algo así).
#18 el problema es que existen limitaciones que con un servidor de archivos ge propósito general no hay.
#14 No sé qué fotos tenéis vosotros para tener que cifrarlas, pero en Google+ (aka Picasa) las fotos de hasta 2048px (suficientes para el común de los mortales) no ocupan espacio, por lo que puedes tener cuantas quieras
#21 Era sólo un ejemplo, pero de todas formas hablaba de 'cifrar' no de 'comprimir', creo que has confundido los términos.
El ejemplo que ponía de cifrar era por la gente que comenta que prefiere tener los datos cifrados en la nube.
#21 pues fotos de los pechotes de las orcos fumadoras de su novias rastafaris
#14 Cifrado por Google?
Pues yo acabo de probar y me funciona todo igual.
#5 Este tipo de noticias suelen caducar en cuestión de minutos u horas. Es normal que ya puedas acceder, no pueden permitirse desactivar un servicio tan esencial a nivel global tanto tiempo.
Pues no es tan problemático.
Tienes que haber sido víctima de un atacante con conocimientos y suficientemente inteligente para darse de cuenta de esto (Que ya es difícil viendo el panorama)
Acceder al link para regalar tu auth_token
Y que alguien obtenga una URL de un shared file con permisos y acceder "saltandoselos" utilizando el auth_token que te ha robado.
O eso he entendido en la noticia, ¿no?
Muy difícil que se haya dado el caso. De todos modos, no entiendo como la gente utiliza estas mierdas.
#8 no es eso lo que pone la noticia
Si tu compartes algo de tu Dropbox "públicamente", Dropbox te da un enlace. Tu ese enlace se lo das a quien quieras.
El problema es que si el contenido que compartes tiene un enlace a otra web y alguien pincha, a la web de destino le llega como referer el enlace al contenido compartido. Ni admin, ni auth_token ni nada.
Es como si yo tengo una pagina web secreta en http://example.com/secret
#24 si pero no hace falta subir zips con contrasenya dropbox, puedes cifrar el fichero con PGP (no solo sirve para emails) y sera mucho mas seguro.
#27 no todo el mundo es capaz de descifrar archivos cifrados PGP porque no tienen esa constumbre o no tienen el programa instalado o saben usarlo. Por contra, los sistemas de correo con módulos PGP incorporados sí son más fáciles de encontrar y más utilizados.
Y no hablo de Dropbox, sino de sistemas de consignas en general. Claro, que si la empresa tiene un crypt&share público, pues para qué queremos más, pero no siempre es así, por desgracia.
Algunos sistemas de consigna hay muy voluntariosos que solo permiten ser leidos desde fuera de la organización si son subidos desde dentro y desde dentro si son subidos desde fuera. Eso significa que cualquiera de dentro puede ver el archivo que te mandan desde fuera y cualquiera de fuera puede ver el archivo que tú expones. Pero qué se le va a hacer, ya el dpto que lo lleva te dice q no ofrece apenas seguridad, pero es que no hay otra forma. Al final casi que acabas mandando DVDs por mensajero o pidiendo que vaya un trabajador a la otra empresa a reocgerlos.
Con lo fácil que es subir los pdfs y docs en un zip con clave, la cual pasas por correo cifrado en pgp...
#16 los zips con contrasenya solo cifran los datos del fichero, aun sin saber la contrasenya se pueden ver los nombres de fichero lo cual es bastante triste.
Si vas a pasar la clave con PGP, para eso cifras los documentos tambien con PGP.
#19 No todos los servicios de correo aceptan archivos de gran tamaño. Por eso hay que utilizar otro tipo de sistemas intermedios como consignas temporales.
#16 ¿zip? ¿alguien usa aun zip? RAR o 7zip!