O Dropbox é provavelmente a ferramenta mais popular de backups na cloud, criando um tipo de disco virtual que pode ser acedido a partir de qualquer lugar. Este é sem dúvida um dos serviços mais usados pelos nossos leitores e são muitas as aplicações disponíveis que adicionam novas funcionalidades.
Há cerca de um ano, tal como como tem acontecido com outros serviços que assentam na web, o Dropbox implementou autenticação em dois passos para garantir uma melhor segurança do seu serviço. Informações recentemente, já confirmadas pela empresa, relatam que o método implementado pela empresa é vulnerável.
Porque as questões de privacidade têm hoje uma importância elevada e crucial, muitos serviços online estão a implementar a autenticação em dois passos para aumentar o nível de segurança e impedir o acesso não autorizado a informações confidenciais. O Dropbox é apenas um desses serviços on-line que oferece tal funcionalidade, mas recentemente foi descoberto que o método de autenticação em dois passos tem graves falhas de segurança. De referir que a autenticação em dois passos necessita, além da introdução do utilizador e password, um código único que é enviado via SMS.
Segundo informa o site Slashgear, é possível entrar numa conta Dropbox, ignorando a autenticação de dois passos e um “truque inteligente”. O Dropbox não faz a validação do endereço de e-mail quando é criada uma nova conta. Assim, o atacante pode usar essa conta, que deverá ser semelhante à conta a atacar (ex. baseballboy@yahoo.com e baseball.boy @ yahoo.com)
Para a conta “falsa”, a autenticação de dois fatores é ativada e é gerado um código de emergência no caso do utilizador perder o telefone. O atacante , tenta então aceder à conta da vítima mas é-lhe solicitado para inserir o código. A seguir, o atacante escolhe a opção que que indica que perdeu o telefone e é-lhe pedido a introdução do PIN.
Uma vez que o endereço de email que o atacante criou é semelhante ao endereço de e-mail da vítima, o código de emergência irá funcionar na conta de Dropbox da vítima. A partir daí, o atacante pode desativar a autenticação de dois fatores e ter acesso em conta Dropbox da vítima. v
O ataque parece fácil mas há um factor muito importante…é que o atacante necessita de saber as credenciais originais para que tudo funcione (as credenciais podem ser obtidas via keylogger ou técnicas de phishing). Esta falha está já a ser tratada pelo Dropbox que deverá apresentar uma actualização já nos próximos dias.