(Por El Microsaurio) El domingo pasado Dropbox se abría con cualquier password. Sucedió durante cuatro horas. Cualquiera podía entrar en cualquier cuenta usando contraseñas falsas, hasta de una sola letra. Lo solucionaron, pero este asunto plantea la insegura realidad de la famosa Nube. Aunque ya salió en muchos medios, tomate cinco minutos, lee el verdadero relato… y tomate un calmante.
Como dicen en las películas, esta es una historia de la vida real. O sea, la verdadera historia.
El señor X estaba trabajando con su compu, el domingo pasado (el 19) cuando leyó sobre el enésimo hacking atribuido o no a Lulzsec, y se le ocurrió pensar en sus contraseñas, prolijamente archivadas en Dropbox. Vos sabés, ese servicio de Disco Duro Virtual, que también tiene su sistema de “password maestro supersecreto y recontraprotegido” mediante el cual vos te logueás a donde sea, sin necesidad de recordar la contraseña real de cada cosa, sea webmail, banco, o… lo que se te ocurra (aparentemente muy conveniente y cómodo…)
Paranoico como es, luego de leer esas historias terribles de miles de contraseñas de inocentes usuarios publicadas en Internet, el señor X decidió cambiar su password en Dropbox. Abrió su navegador, ingresó al website, se fue a “Cambiar contraseña”, pensó en la más difícil combinación de letras, números y signos raros, la escribió, le dio clic a “aceptar” y… nada. Pasaron unos segundos, un leve saltito en la pantalla, y (el señor X respiró tranquilo) el password nuevo ingresó al sistema.
Tubo bem.
Pero…
Al rato decidió regresar a Dropbox para revisar algo. Escribió el nuevo pass. Entró. Notó que se había equivocado, una letrita de más, y había entrado igual. Extrañado, don X reingresó con la contraseña vieja. Aceptada. Probó a salir y reingresar escribiendo “qqq”. Aceptado. Recaliente, este usuario probó a entrar en la cuenta de dos amigos suyos, escribiendo como password cualquier cosa. Ingresó en ambos casos.
Luego de chatear con sus amigos para avisarles del problema, envió un mail al soporte de Dropbox.
Respuesta: “…hubo un muy breve inconveniente y esto no debería suceder o ser posible de nuevo; gracias por el email – arash” El firmante era Arash Ferdowsi, exalumno del MIT, jefe técnico y fundador de Dropbox junto con Drew Houston.
La historia oficial del problema fue relatada por el mismo Ferdowsi en un post del blog corporativo, el lunes 20: “…ayer hicimos una actualización de código (…) que introdujo un bug que afectó nuestro mecanismo de autenticación (…) descubrimos esto cuatro horas después y una solución fue aplicada a los cinco minutos (…) algunos usuarios podrían haberse logueado en una cuenta sin la contraseña adecuada (…) como una precaución, en ese momento cerramos todas las sesiones logueadas (…) Esto nunca debería haber sucedido…”
Resumen simple:
- un programador de Dropbox hace una modificación (parece que fue Ferdowsi);
- a causa de eso, el sistema de autenticación queda apagado, pero no da ninguna alarma;
- durante cuatro horas, cualquier persona puede ingresar a cualquier cuenta de Dropbox escribiendo una contraseña inventada.
- la empresa no encontró forma de saber si durante esas 4 horas hubo ingresos escribiendo (por ejemplo) “mongo” en lugar del password verdadero. (¿¿¿Eh???)
- el error fue solucionado en 5 minutos, dice la empresa; yo sospecho que no lo “solucionaron”, simplemente editaron el código eliminando la reciente modificación.
Moraleja 0: si usás Dropbox y no te habías enterado de esto, cambiá la contraseña ahora, y que sea única para ese servicio. Y en cuanto a confiarle tus otras contraseñas… no sé, pensalo (ver moraleja 2).
Moraleja 1: tomen en cuenta que la seguridad, en la nube, depende de extraños, no de uno mismo.
Moraleja 2 en forma de pregunta: un sobre con contraseñas, guardado bajo llave, ¿es menos seguro que un superpassword en la nube?
El incidente que llevó al descubrimiento del problema es real, el señor X existe y pidió no ser identificado, los mensajes entre el señor X y Ferdowsi los publicó el especialista Christopher Soghoian y pude leerlos. Los usuarios registrados de Dropbox son 25 millones. El responsable (!!!???) de Dropbox indicó que había menos de 1% de usuarios logueados durante las cuatro horas en que el sistema de autenticación estuvo fuera de servicio (eso da como 250 mil), y que a cada persona se le envió un email con el detalle de movimientos de la cuenta, para que pueda verificar algún movimiento extraño.
Saquen las nubosas conclusiones que corresponden.
Increible..! Lo del sobre con contraseñas no parece mala idea despues de leer esto…