[FAIL] Primero fue Twitter y ahora Dropbox. Cambias el password y hasta el «logout» sigues conectado.

Primero fue Twitter…

Bueno, sobre lo de Twitter y el cambio de password vía web no voy a hablar mucho porque los habituales de DaboBlog lo sabéis. Ya hice la demo en el pasado FIMP, demostrando que se podía acceder (en el caso que presenté) con un cliente móvil con la contraseña antigua todo el tiempo que quisieras hasta que que cerrase la sesión (también lo mencioné en el 5EBloggers del ENISE e hice otra demo vía móvil a varios compañeros de mesa). A modo de recordatorio, en caso de pérdida de un móvil u otro dispositivo ya sabéis, o borrado remoto, o ir a Twitter y revocar el acceso a la aplicación. Aún cambiando vía web el password, seguirán conectados a tu cuenta.

Ahora Dropbox.

dropbox_cifradoQue suceda lo mismo con Dropbox ya no sé si es algo que me preocupa más pensando en la cantidad de cuentas que estarán siendo observadas en caso de robo/pérdida de dispositivo, o por las muchas consecuencias que puede tener dado el tipo de datos que se almacenan. Ojo, desde un móvil y en la aplicación de escritorio (en mi caso Debian + KDE) como se puede comprobar en la captura de pantalla, captura que con toda la intención, está hecha junto al mensaje de Dropbox avisando del cambio de password. (Luego dicen que soy un paranoico por cifrar todo lo que tengo en Dropbox salvo algún PDF o ebook sin importancia…).

dropboxfail

Mensaje de "cambio de password" y conectado en mi equipo...

El problema es que si vas al sitio web y revocas el acceso, ya se te avisa que serán conservados los archivos almacenados en el dispositivo de turno…Por lo que cada uno tiene que sacar sus propias conclusiones. Yo lo tengo muy claro, prevenir para no lamentar. Cifrar todo lo que realmente quieras que sea privado y contar con la posibilidad de que pueda suceder algo así.

Pero es que en un Core i3 que tengo con Debian, incluso estando el equipo apagado y arrancándolo, ayer vi que sigo conectado con la contraseña antigua y actualizando cambios sin el más mínimo problema, también desde un iMac con el cliente de Dropbox corriendo en OS X y desde un Windows XP bajo DropBox en Debian, así que…

dropboxIOS

En el móvil, borrando un fichero con el password antiguo...

Este tipo de situaciones que se dan en muchos servicios que utilizamos de forma masiva, hacen que en casos como los que comento, conviertan a esa «amigable» y tan de moda «nube» en una tormenta tropical a gran escala para quien los sufre…Esta entrada lleva como «borrador» más de 3 días h y sigo accediendo con normalidad a mi cuenta de Dropbox con el password anterior. Y como «regalito» final, no olvides que Dropbox, vía web, tiene una sección que pone «archivos eliminados», sí, guarda copias de ficheros que tenías archivados, así que puedes pasarte por ahí y hacer una buena limpieza no vaya a ser que…

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • Joss

    Es sorprendente cuanto menos… y más aún que les avises de estos «detalles» (como lo hiciste en el caso de Twitter…) y lo ignoren.
    Saludos.

  • dabo

    Pues sí Joss, el tema es que lamentablemente a mi cada vez me sorprende menos y pongo en práctica medidas para evitar estos temas pero no por ello considero que tengo que hacerme eco/difundirlo. (aunque a veces, parece que prediques en el desierto viendo como pasan ciertos «fabricantes/vendors» del tema)

    Saludos ;)

  • Pingback:

    Bitacoras.com
  • dark

    En realidad tanto uno como el otro NO son y SÍ son un fallo de seguridad. Me explico:

    En el caso de Dropbox (y Twitter es parecido) los clientes que utilizan una API tienen 2 métodos de acceso: el más habitual y recomendado, solicitar un «token» asociado a la cuenta, para lo que necesitan una única vez la pareja user/pass para autenticarse y solicitarlo; el segundo y más simple, proveer la pareja user/pass cada vez.

    Inciso: muchas veces el token en sí es más complejo que la pareja usuario y contraseña, por que en Dropbox el usuario es «conocido» y la contraseña no tiene más de 15 caracteres (ingeniería social, tablas de passwords, etc) sin embargo el token en sí suele ser una larga ristra de caracteres sin el más mínimo sentido.

    La mayoría de las APIs hacen uso del «token» para evitar guardar la contraseña de usuario y pedirla en caso de cambiarla (bug/feature) y éste, el «token», es válido incluso si se cambia la contraseña. En el caso de Dropbox, si se cambia el nombre de usuario, que es el correo, SÍ que los clientes que usen la API piden acceso de nuevo, para solicitar otro «token» asociado al nuevo correo. Por ciero, en Dropbox sí se puede cambiar el correo y la cuenta sigue intacta.

    Esta doble funcionalidad permite desvincular el uso de user/pass de la web de el resto de APIs. En general, todos estos servicios permiten el derogar los tokens manualmente (en caso de Dropbox los «PCs vinculados»). Además, en Dropbox hace tiempo están trabajando en la funcionalidad que ellos llaman «Stolen Notebook», que consiste en permitir al usuario desvincular y borradar de los datos de cualquier PC la próxima vez que conecte con Dropbox o inmediatamente si está conectado.

    Con esto no defiendo que sea un fallo de seguridad o no el hecho de que cambiar las credenciales de acceso no derogue automáticamente los «tokens», sino que digo que en su modelo de seguridad no lo han contemplado así. Al final la seguridad y el no «dar el coñazo al usuario» se ponen a cada lado de la balanza y, normalmente, la seguridad sale mal parada.

    Buen trabajo con el blog.

    Un saludo a todos!

  • debish

    Tremenda chapuza Dabo. Estoy tranquilo porque no uso ni uno ni el otro, pero que sirva el ejemplo para que la gente empiece cifrar a diestro y siniestro, que a parte del peligro derivado del chapuzón este, está aquel otro de que el que aloja sea o no de fiar.

    Como alternativa siempre te puedes montar tu propia nube, te enchufas por ssh como toda la vida de dios y listo. Lo malo el coste, que tengas o no el hardware listo y sobre todo la habilidad para montarlo medio en condiciones.

    En fin, se agradece el aviso.

    ¡Nos leemos! ;)

  • dabo

    Hola Dark, bienvenido al blog ;)

    Lo sé, sé que en mi caso tengo que entenderlo (como dirían ellos) como una «feature» o un «mal necesario» de los Token y las apps de terceros pero…no por ello debemos dejar de decirlo porque te aseguro que mucha gente en un caso así, se queda «en pelotas» y sin tiempo de reacción o formas de paliarlo. Aún así y poniéndome en todos los lugares, para el del usuario final me parece una cagada, estoy como bien dices pendiente del cambio en Dropbx «Stolen Notebook” pero es eso, algo pendiente….

    La responsabilidad del uso de este tipo de servicios es nuestra, eso es cierto pero…deberían ponerlo algo más fácil (o al menos eso creo yo)

    Un abrazo y gracias por pasarte ;)

    # Debish;

    Ya sé yo que a ti estas historias te cogen » de costado» pero en fin, no está de más saberlo y en mi caso, todo lo que me importa o bien no lo subo o si es así, va cifrado a costa de la lógica perdida de usabilidad. Pero vaya, viendo como se las juegan los Tokens, Apis, etc, como para no cifrar…

    Saludos !

  • Ángel Alonso Fonseca

    Casualidades de la vida, Dabo, justo hace dos semanas en mi empresa se propuso usar Dropbox para un miniproyecto, realmente sin importancia, de «documentación en la nube». Lo brutal del caso es que un par de los considerados jefes se negaron en redondo…porque no se fiaban de una infraestructura que no permitiese más de 15 caracteres(justo lo que comenta dark un poco más arriba).

    No deja de ser una cusioridad tener jefes que se tomen esto tan en serio, pero(nueva pregunta de novato), ¿por qué no obviar esa capa de seguridad que pone Dropbox, y encriptar antes de subir? ¿es realmente un tema de rendimiento?

    ¡Saludos, Dabo!

  • dabo

    Hola Ángel ;)

    Realmente es curioso cuanto menos tener unos jefes que miren cosas como esas, un +1 para ellos. El problema creo que no es (en mi caso) de rendimiento sino más bien de operatividad ¿por qué? porque como no me fío, casi todo salvo algún PDF está cifrado y ahí pierdes la típica opción de sobre la marcha (por ej desde el móvil) enviar cualquier fichero. Lo digo porque para descifrar un directorio no lo puedo hacer desde un móvil, sino desde mis equipos de escritorio.

    Por otro lado, si accedes vía web en un equipo que no es tuyo, a veces te encontrarás (aunque siempre puedes llevar algo en un USB) con que no puedas instalar algo para quitar el cifrado y luego, una vez revisado / usado el fichero que querías, volver a cifrar el directorio o carpeta en Dropbox teniendo que borrar la que has descifrado y luego yendo a los «eliminados» y cargártela por completo….

    Un poco rollo la verdad, saludos ;)

  • Ángel Alonso Fonseca

    Humm, tiene sentido lo que dices… y de alguna manera sí parece que la movilidad acaba siendo el talón de Aquiles.

    -1 para Steve Gibson, que explica siempre la teoría de estas cosas de una manera que parece que ha inventado la rueda ;)

    Lo de mis jefes, sinceramente Dabo, se ve que en esta empresa la gente con mucho conocimiento técnico, por pura inercia, acaban de Managers… ¡y nos fastidian los chistes sobre gerentes que no saben ni programar el vídeo!

    Saludos!

  • dabo

    Sí, creo que es el tema, nos ponen (o comemos) el caramelo de la movilidad, accesibilidad desde cualquier sitio y luego nos damos de frente con estas «features» (así lo suelen llamar ellos) y se nos quita la sonrisa de la cara y con ella, la usabilidad…

    Lo de tus jefes? no es la excepción que confirma la regla porque sinceramente se suele generalizar pero hay muchos que han sido «monaguillos antes que frailes»

    Saludos !

Comentarios cerrados.