它们的最大弱点是无法预测用户将如何破坏其安全性
现在广为宣传的Dropbox安全漏洞是Dropbox可以预见并可以避免的两件事的结果。第一个原因是无法预期用户的不当行为,第二个原因是无法采取措施,即使用户不是,也可以使站点保持安全。Dropbox员工本不应该允许的做法以及松懈的管理监督加剧了这种情况。
换句话说,在安全性方面,Dropbox创造了完美的风暴。对我而言,整件事都呈现出déjÃvu的形式。在披露Dropbox违规行为的前几天,我一直在迈阿密的NetEvents Americas Press and Analyst Summit主持小组讨论。该小组的主题专门针对云应用程序和服务对移动用户的安全挑战。一个讨论的显著部分约为只是那种很软弱,Dropbox的显露出来。
Dropbox出现的问题列表不足为奇,因为该列表适用于其他公共云服务提供商。首先,安全性仅取决于名称和密码才能访问人的文件。其次,Dropbox显然没有监督员工行为,包括在开发中使用实时客户数据。第三,很明显,Dropbox没有提供有关基本安全实践(例如密码重用)的足够培训。
由于这些缺点,Dropbox违规不是它是否会发生的问题,而是它何时会发生的问题。在这种情况下,我们知道发生的唯一一件事情就是许多Dropbox用户在网站上收到了一些垃圾邮件。据我们所知,只有Dropbox员工中的客户电子邮件地址被破坏了。
现在,Dropbox已承诺要清理其行为。该公司将开始要求进行两因素身份验证,这是发现可疑活动的一种方式,也是用户查看其帐户中可疑活动的一种方式。该公司要求更改某些帐户的密码。如果您是Dropbox用户,则至少应将您的密码更改为既强大又独特的密码,不要等到公司告诉您这样做。
不幸的是,Dropbox违规所带来的影响远远超出了Dropbox。大多数公共云服务都具有类似的弱点,因为它们也仅依赖用户名和密码来保护数据。如果该信息已知,则用户的云存储区域的内容将打开以供提取。