Найдена дырка в DROPBOX

Неприятная новость распространилась по интернету со скоростью лесного пожара: В D горЬох,популярнейшем решении для синхронизации файлов между разными компьютерами и мобильными устройствами, обнаружили уязвимость. Найденная дыра, увы ,не пустяшная : все дело в файле сопfig.dЬ, хранящемся
по адресу %А РРDАТА% DгорЬох и являющему собой таблицу базы данных.

В Dropbox таблице всего лишь три поля — email, dropbox_path и hostjd. Последнее поле не относится к определенному хосту, назначается системе после
первой авторизации и не меняется со временем. И вот в чем прикол. Для авторизации DгорЬох использует именно это самое эначение hostjd,а файл сопfig.dЬ портативен и не связан с системой. Получается, что копирование сопfig.dЬ на другую машину и запуск DгорЬох немедленно синхронизирует эту систему с аккаунтом, без у ведомления пользователя и без внесения новой системы в список доверенных! Хуже то го, пользователь даже ничего не заметит, а если он сменит логин и пароль, тоже ничего не изменится, — hostjd все равно останется валидным . Ждем малварь, нацеленный на сопfig.dЬ и hostjd? Кстати, никаких методов защиты кроме зубодробительного шифрования данных или отказа от использования DгорЬох \’ а пока нет. Все подробности в блогеу хакера Дере ка Ньютона, который и нашел уязвимость…

Заметка: Infosecurity Europe провела опрос среди людей на улицах Лондона,» спрашивая у них, что такое облачная обработка данных. Оказалось, что с ИТ-грамотностью у народа очень плохо. 25% ответили, что это «такой датацентр в небе», 20% сказали, что это «какая-то реклама Мiсrоsоft», а еще 10% думают,что это «модный клуб в Сохо» :).