Notícias

Dropbox – É possível contornar a autenticação em dois passos

18 Comentários

O Dropbox é provavelmente a ferramenta mais popular de backups na cloud, criando um tipo de disco virtual que pode ser acedido a partir de qualquer lugar. Este é sem dúvida um dos serviços mais usados pelos nossos leitores e são muitas as aplicações disponíveis que adicionam novas funcionalidades.

Há cerca de um ano, tal como como tem acontecido com outros serviços que assentam na web, o Dropbox implementou autenticação em dois passos para garantir uma melhor segurança do seu serviço. Informações recentemente, já confirmadas pela empresa, relatam que o método implementado pela empresa é vulnerável.

dropbox_05

Porque as questões de privacidade têm hoje uma importância elevada e crucial, muitos serviços online estão a implementar a autenticação em dois passos para aumentar o nível de segurança e impedir o acesso não autorizado a informações confidenciais. O Dropbox é apenas um desses serviços on-line que oferece tal funcionalidade, mas  recentemente  foi descoberto que o método de autenticação em dois passos tem graves falhas de segurança. De referir que a autenticação em dois passos necessita, além da introdução do utilizador e password, um código único que é enviado via SMS.

Segundo informa  o site Slashgear, é possível entrar numa conta Dropbox, ignorando a autenticação de dois passos e um “truque inteligente”. O Dropbox não faz a validação do endereço de e-mail quando é criada uma nova conta. Assim, o atacante pode usar essa conta, que deverá ser semelhante à conta a atacar (ex. baseballboy@yahoo.com e baseball.boy @ yahoo.com)

Para a conta “falsa”, a autenticação de dois fatores é ativada e é gerado um código de emergência no caso do utilizador perder o telefone. O atacante , tenta então aceder à conta da vítima mas é-lhe solicitado para inserir o código. A seguir, o atacante escolhe a opção que que indica que perdeu o telefone e é-lhe pedido a introdução do PIN.

dropbox_01

Uma vez que o endereço de email que o atacante criou é semelhante ao endereço de e-mail da vítima, o código de emergência irá funcionar na conta de Dropbox da vítima. A partir daí, o atacante pode desativar a autenticação de dois fatores e ter acesso em conta Dropbox da vítima. v

O ataque parece fácil mas há um factor muito importante…é que o atacante necessita de saber as credenciais originais para que tudo funcione (as credenciais podem ser obtidas via keylogger ou técnicas de phishing). Esta falha está já a ser tratada pelo Dropbox que deverá apresentar uma actualização já nos próximos dias.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
dois passos dropbox Hack two factors

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Mac Fan Control: Mantenha a temperatura do Mac controlada
Artigo anterior

Mac Fan Control: Mantenha a temperatura do Mac controlada
Domingo é dia de dicas do Microsoft Word 2013 (I)
Próximo artigo

Domingo é dia de dicas do Microsoft Word 2013 (I)
PUB

Comentários

18

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Bruno
    Bruno

    Bem, espero que essa atualização seja rápida. Mais uma razão para eu gostar ainda mais do Copy e do Sugarsync, que são os 2 serviços de cloud que eu mais utilizo por estes dias.

    Se quiserem experimentar o Copy aqui fica um link que vos dá logo 20Gb:
    https://copy.com?r=fequ3U

    Se quiserem usar o Sugarsync que vos dá mais 500Mb por cada pessoa que se registe, usem este link:
    https://www.sugarsync.com/referral?rf=c6iy8xm76ivvd

    Responder
    1. Avatar de arkan
      arkan

      prefiro ir direto do que te dar mais espaço!

      https://www.sugarsync.com

      https://copy.com

      Responder
      1. Avatar de paulo
        paulo

        das e reseves 5gb no copy

        Responder
      2. Avatar de Bruno
        Bruno

        A diferença é que ao ires pelo meu link também recebes mais 5Gb de espaço mas a decisão é tua.

        Responder
      3. Avatar de Woot!
        Woot!

        Deves ser um troll daqueles bem broncos. Diz-me lá tu o que ganhas tu em ires directo em vez de usares o link dele? Que cromo!

        É por pessoas como tu que só olham para o próprio umbigo qur este país está cono está. Cresce rapazinho!

        Responder
      4. Avatar de Tiroliro
        Tiroliro

        Típico Tuga. Eu não tenho tu nao podes ter… Eu não sou capaz tu não podes ser capaz… Eu sou reles tu tens que ser reles… Enfim, palavras para quê…

        Responder
      5. Avatar de JorgeC
        JorgeC

        Resposta patética. Qual é o problema de aderir e ao mesmo tempo estar ajudar alguém?

        Responder
  2. Avatar de Ricardo
    Ricardo

    Acho demasiado rebuscado…

    Responder
  3. Avatar de Paulo Fontoura
    Paulo Fontoura

    EU também precisava de uma ajudinha para aumentar o meu espaço no Copy.

    Eu uso Copy e estou bastante satisfeito – oferece mais espaço gratuíto que o Dropbox, não tem limite de upload no tamanho dos ficheiros, faz lansync, e quando partilhamos dados com amigos o espaço ocupado é dividido pelo número de pessoas em partilha, isto é, se tiver um ficheiro com 1GB e estiver a partilhá-lo com 5 pessoas, passa a ocupar-me um espaço de apenas 200MB.
    A seguir ao Copy prefiro o SkyDrive, onde tenho as minhas fotos.
    O Copy encripta os dados.

    Quem quiser experimentar pode registar-se apartir do meu referral que fica com 20GB gratuítos, podendo vir ainda a ter mais espaço gratuíto –

    https://copy.com?r=mEhEBc

    Em contrapartida estará a ajudar-me a obter mais 5GB grátis.
    Obrigado!

    Responder
    1. Avatar de ScarePT
      ScarePT

      Acabei de aderir pelo teu link vamos la exprimentar

      Responder
  4. Avatar de Alberto
    Alberto

    Chiça, penico! Raios partam estas vulnerabilidades! Quero o meu Zx Spectrum novamente!

    Responder
    1. Avatar de z80
      z80

      idem. a vida era tao mais simples e melhor…

      Responder
  5. Avatar de pixar
    pixar

    Isto é uma daquelas vulnerabilidades um bocado forçadas. A única vulnerabilidade aqui é mesmo o facto de não exigir que o o email seja o original e possa ser um parecido.
    No entanto, é sempre necessário possuir as credenciais da vítima. Mesmo sem o telemóvel, a conta já está seriamente comprometida.

    Responder
  6. Avatar de lol
    lol

    Obrigado por ensinarem as pessoas a fazerem coisas ilegais. Só pessoas inteligentes. :facepalm:

    Responder
    1. Avatar de Pedro Pinto
      Pedro Pinto

      Aqui não se ensina nada. Apenas demos a conhecer uma vulnerabilidade que vai ser resolvida nos próximos dias.

      Responder
    2. Avatar de pixar
      pixar

      Não é o conhecimento que nos torna ladrões ou vigaristas. É a falta de escrúpulos!

      Responder
  7. Avatar de Manuel Cordovil
    Manuel Cordovil

    Pois tenho infelizemente tenho que concordar com o “lol”, apesar de tudo ainda não está resolvido, e sempre acreditei que a ocasião faz o ladrão.

    Com esta informação podem estar a criar muitas ocasiões.

    Podiam ter informado depois do “Bug” ter sido resolvido, mas sim todos têm o direito de saber que existe esta vunerabilidade, nem que seja os utilizadores da dropbox.

    Enfim morrer do remédio ou da cura eis a questão…

    Responder
  8. Avatar de Alberto
    Alberto

    Após ler a notícia bastante interessante e de acompanhar os comentários que o pessoal vem deixando aqui, eu tenho uma pergunta, a falha foi corrigida pela Dropbox ou ainda não?

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.