هشدار در خصوص درز اطلاعات از وب سایت های بایگانی مجازی
موسسه دراپ باکس برای حل این مشکل اقدام کرده است
دیو لی
خبرنگار فن آوری، بی بی سی
به کسانی که از وب سایت های بایگانی مجازی اطلاعات مثل دراپباکس و یا باکس استفاده می کنند، هشدار داده شده که بایگانی اطلاعاتی آنها ممکن است به شکل غیرعمدی به بیرون درز کند.
اینترالینکس که یک موسسه دیگر بایگانی مجازی اطلاعات است، اخیر اعلام کرده که اطلاعات شخصی مهم از جمله سوابق حساب بانکی و وامهای مسکن را که به بیرون درز کرده، پیدا کرده است. ظاهرا مشکل اصلی، استفاده مشترک تعداد زیادی از مشتریان این نوع وب سایت ها از یک لینک واحد است.
وب سایت دراپباکس به عنوان یک اقدام پیشگیرانه و احتیاطی فعلا دسترسی مشترکان به لینک هایی را که قبلا به صورت همگانی از آنها استفاده می شده متوقف کرده است. علاوه بر این سعی کرده با ترمیم نقاط ضعف موجود از تسری و درز کردن بیشتر فایل های خصوصی کاربران جلوگیری کند.
دراپ باکس در بیانیه ای که روی بلاگ این موسسه انتشار یافت نوشت: "ما متوجه شده ایم که بخش زیادی از نقل و انتقال اطلاعات بایگانی شده روی وب سایت ما به خاطر استفاده مشترک از لینک های واحد صورت گرفته است. ما ضمن عذرخواهی بابت این مشکل، به تلاش خود برای تضمین ایمنی اطلاعات مشترکان ادامه داده و در آینده شما را از جزییات این اقدامات مطلع خواهیم کرد. در روزهای آینده لینک هایی را که به این لحاظ آسیب پذیرنیستند مجددا فعال خواهیم کرد."
موسسه باکس به درخواست بی بی سی برای دادن توضیحات در این زمینه پاسخ نداده است.
گراهام کلولی کارشناس ایمنی اینترنت می گوید که سارقین هویت می توانند از این نقطه ضعف برای سرقت اطلاعات استفاده کنند. او می افزاید: "موسسات ارائه دهنده بایگانی مجازی در مورد وقوع این نوع ضعف ها باید شفافیت بیشتری نشان دهند." او در عین حال تاکید می کند که این موضوع یک نقطه ضعف امنیتی نیست بلکه پیامد غیرمترقبه رفتار مشتریان است که گروه زیادی از آنها از یک لینک واحد استفاده کرده اند.
اطلاعات ارجاع شده
باکس یک وب سایت بزرگ برای بایگانی مجازی اطلاعات است
گراهام کلولی در وبلاگ خود برای محدود کردن دسترسی دیگران به اطلاعاتی که در وب سایت های بایگانی عمومی ذخیره می کنیم پیشنهاداتی را مطرح کرده است. هر دو وب سایت دراپ باکس و باکس به مشتریان خود روشهایی را برای بالابردن ضریب ایمنی ذخیره کردن اطلاعات از طریق لینک های مشترک ارائه داده اند. ولی ظاهرا به کارگیری این روشها از انعطاف و کارایی می کاهد.
گراهام کلولی می گوید:"چالش همیشگی سرویس های بایگانی مجازی همین تضاد بین امنیت و کاربری ساده تر است."
دراپ باکس و اکثر وب سایت های بایگانی مجازی اطلاعات معمولا به کاربران این انتخاب را می دهند که برای دسترسی به بایگانی های خود از یک لینک مشترک استفاده کنند. طبق این روش هر مشتری می تواند خیلی ساده یک لینک، حاوی یک آدرس روی شبکه اینترنت را برای هر کسی که می خواهد بفرستد و فرد دریافت کننده از آن طریق، بدون آنکه لازم باشد در وب سایت موسسه بایگانی ثبت نام کند، خواهد توانست به آن بایگانی اطلاعاتی مشخصی دسترسی پیدا کند.
با توجه به ترکیب پیچیده هر یک از این لینک ها بعید است که کسی بتواند جزییات آن را با حدس و گمان تشخیص دهد. بنابراین امکان چندانی برای سرقت اطلاعات توسط تبهکاران وجود ندارد. اما اینترالینکس یک موسسه دیگر بایگانی مجازی، متوجه شده است که این لینک ها به دو شیوه دیگر که قبلا تصور نمی شد ممکن است آسیب پذیر باشند.
به گفته اینترالینکس در برخی موارد صاحبان وب سایت ها می توانند لینک هایی که از وب سایت دراپباکس به وب سایت آنها ارجاع داده شده است را باز کنند و به بایگانی مرتبط با آن دسترسی پیدا کنند. موسسه دراپباکس اعلام کرده که اکنون این نقطه ضعف را ترسیم کرده است.
نقطه ضعف دیگر استفاده از لینک های مشترک وب سایت های بایگانی مجازی، از طریق آگهی های گوگل مشخص شده است.
اینترالینکس متوجه شده است که برخی از کاربران به هنگام جستجو برای بایگانی اطلاعاتی مورد نظر خود کل مشخصات لینک را در صفحه جستجوگر درج می کنند. هر چند وارد کردن کل لینک در صفحه جستجوگر گوگل کار عجیبی به نظر می آید ولی اینترالینکس می گوید که از همین طریق چند صد مدرک شخصی کاربران به دست آنها افتاده است.
گراهام کلولی کارشناس ایمنی اینترنت می گوید اقدامات روزهای اخیر وب سایت دراپباکس این نقطه ضعف را برطرف نکرده است.