在一个完美的世界中,无处不在地共享和使用来自全球任何地方的数据文件的想法是个好主意。
有些人甚至会为它发明一个深奥的术语,比如云计算。文件托管服务无疑为忙碌的人们提供了便利。直到它不能;比如安全漏洞的后果,导致私人或机密信息的泄露。
虽然目前还没有关于这些漏洞的恐怖故事过多,则最近美国联邦贸易委员会提出投诉的Dropbox当然应该给任何文件共享服务用户片刻的停顿。在显然2,500万名顾客流行的Dropbox目前正在调查的可疑的保密和隐私的保安措施。
是投诉的前几段如下:
1. Dropbox的已醒目地标榜“云”备份,同步和文件共享服务,这是现在所使用的超过25名亿消费者,其中许多人的安全“靠的Dropbox采取的最重要的信息服务。”
2. Dropbox的不使用有关使用加密技术的行业最佳实践。具体而言,Dropbox的员工需要访问客户的未加密文件的能力。
3. Dropbox的拥有并继续作出关于向其保护和加密他们的数据在多大程度上欺骗性陈述给消费者。
4.保管箱的客户面临数据泄露和身份盗窃的风险增加,因为他们的数据没有根据行业最佳实践的加密。
5.如果Dropbox的披露有关其数据的安全实践的全部细节,一些客户可能转投竞基于云的服务,做关于加密部署的行业最佳实践,与第三方加密工具保护自己的数据,或者决定不基于云的备份完全。
6.Dropbox的不实陈述是一种欺骗性的贸易行为,根据《联邦贸易委员会法》第5节,将受到联邦贸易委员会(“委员会”)的审查。安全异常还是照常营业?Dropbox的安全问题是异常的还是与其他文件共享服务的安全级别一致的?
据最近的一项研究题目揭露隐私的缺乏档案托管服务通过1DistriNet,鲁汶大学,比利时2Institute通信系统工程师学校与研究中心,法国Sophia Antipolis发表,研究人员调查了100文件托管服务的私密性和发现,其中很大比例产生以不安全的方式下载统一资源标识符(URI),这危及到机密和用户数据的私密性。
该文件托管服务生成每个用户的文件,称为统一资源标识符唯一文件参考号码。该方法的这些数字产生,很容易让有恶意者来预测什么是有效的URI可能是和查询文件共享服务,以确定客户的名字,最终他们的数据。
这项研究确定了侵入主机服务生成URI的序列号或产生可被攻击者容易猜出的很短的标识符。Upon securing a valid user URI, the researchers found that by querying user a user file with a valid URI, sharing services often returned pages containing some information about the document (e.g., filename, size, and number of times it was downloaded), followed by a series of links which a user must follow to download the real file.
这些用户信息是黑客的天堂,因为攻击者可以先获取每个文件的名称,然后只下载那些看起来有希望的文件。为了确定URI漏洞是否会造成真实的安全威胁,他们进行了实验,看看潜在的攻击者是否真的意识到了这个漏洞。他们。
要确定攻击者是否会尝试利用此确定的漏洞产生的,他们称之为HoneyFiles伪造文件组成蜜罐的研究者。事实上,黑客下载了这些文件,然后试图攻击的HoneyFiles,因为它们包含了经济利益的机会,如如虚假的PayPal账户和凭证。
这与安全问题的文章涉及就相对简单,商品的文件共享服务。下一个合乎逻辑的问题是:有高中档商业级的云计算服务做了足够的工作与他们的安全?
有一个安全的一周。罗恩Lepofsky CISSP,CISM,BA.SC(机械工程)www.ere-security.ca