هشدار در خصوص درز اطلاعات از وب سایت های بایگانی مجازی

حق نشر عکس BBC World Service
Image caption موسسه دراپ باکس برای حل این مشکل اقدام کرده است

به کسانی که از وب سایت های بایگانی مجازی اطلاعات مثل دراپ‌باکس و یا باکس استفاده می کنند، هشدار داده شده که بایگانی اطلاعاتی آنها ممکن است به شکل غیرعمدی به بيرون درز کند.

اینترالینکس که یک موسسه دیگر بایگانی مجازی اطلاعات است، اخیر اعلام کرده که اطلاعات شخصی مهم از جمله سوابق حساب بانکی و وامهای مسکن را که به بیرون درز کرده، پیدا کرده است. ظاهرا مشکل اصلی، استفاده مشترک تعداد زيادی از مشتريان این نوع وب سایت ها از یک لینک واحد است.

وب سایت دراپ‌باکس به عنوان یک اقدام پیشگیرانه و احتیاطی فعلا دسترسی مشترکان به لینک هایی را که قبلا به صورت همگانی از آنها استفاده می شده متوقف کرده است. علاوه بر این سعی کرده با ترمیم نقاط ضعف موجود از تسری و درز کردن بیشتر فایل های خصوصی کاربران جلوگیری کند.

دراپ باکس در بیانیه ای که روی بلاگ این موسسه انتشار یافت نوشت: "ما متوجه شده ایم که بخش زیادی از نقل و انتقال اطلاعات بایگانی شده روی وب سایت ما به خاطر استفاده مشترک از لینک های واحد صورت گرفته است. ما ضمن عذرخواهی بابت این مشکل، به تلاش خود برای تضمین ایمنی اطلاعات مشترکان ادامه داده و در آینده شما را از جزییات این اقدامات مطلع خواهیم کرد. در روزهای آینده لینک هایی را که به این لحاظ آسیب پذیرنیستند مجددا فعال خواهیم کرد."

موسسه باکس به درخواست بی بی سی برای دادن توضیحات در این زمینه پاسخ نداده است.

گراهام کلولی کارشناس ایمنی اینترنت می گوید که سارقین هویت می توانند از این نقطه ضعف برای سرقت اطلاعات استفاده کنند. او می افزاید: "موسسات ارائه دهنده بایگانی مجازی در مورد وقوع این نوع ضعف ها باید شفافیت بیشتری نشان دهند." او در عین حال تاکید می کند که این موضوع یک نقطه ضعف امنیتی نیست بلکه پیامد غیرمترقبه رفتار مشتریان است که گروه زیادی از آنها از یک لینک واحد استفاده کرده اند.

اطلاعات ارجاع شده

حق نشر عکس BBC World Service
Image caption باکس یک وب سایت بزرگ برای بایگانی مجازی اطلاعات است

گراهام کلولی در وبلاگ خود برای محدود کردن دسترسی دیگران به اطلاعاتی که در وب سایت های بایگانی عمومی ذخیره می کنیم پیشنهاداتی را مطرح کرده است. هر دو وب سایت دراپ باکس و باکس به مشتريان خود روشهایی را برای بالابردن ضریب ایمنی ذخیره کردن اطلاعات از طریق لینک های مشترک ارائه داده اند. ولی ظاهرا به کارگیری این روشها از انعطاف و کارایی می کاهد.

گراهام کلولی می گوید:"چالش همیشگی سرویس های بایگانی مجازی همین تضاد بین امنیت و کاربری ساده تر است."

دراپ باکس و اکثر وب سایت های بایگانی مجازی اطلاعات معمولا به کاربران این انتخاب را می دهند که برای دسترسی به بایگانی های خود از یک لینک مشترک استفاده کنند. طبق این روش هر مشتری می تواند خیلی ساده یک لینک، حاوی یک آدرس روی شبکه اینترنت را برای هر کسی که می خواهد بفرستد و فرد دریافت کننده از آن طریق، بدون آنکه لازم باشد در وب سایت موسسه بایگانی ثبت نام کند، خواهد توانست به آن بایگانی اطلاعاتی مشخصی دسترسی پیدا کند.

با توجه به ترکیب پیچیده هر یک از این لینک ها بعید است که کسی بتواند جزییات آن را با حدس و گمان تشخیص دهد. بنابراين امکان چندانی برای سرقت اطلاعات توسط تبهکاران وجود ندارد. اما اینترالینکس یک موسسه دیگر بایگانی مجازی، متوجه شده است که این لینک ها به دو شیوه دیگر که قبلا تصور نمی شد ممکن است آسیب پذیر باشند.

به گفته اینترالینکس در برخی موارد صاحبان وب سایت ها می توانند لینک هایی که از وب سايت دراپ‌باکس به وب سایت آنها ارجاع داده شده است را باز کنند و به بایگانی مرتبط با آن دسترسی پیدا کنند. موسسه دراپ‌باکس اعلام کرده که اکنون این نقطه ضعف را ترسیم کرده است.

نقطه ضعف دیگر استفاده از لینک های مشترک وب سایت های بایگانی مجازی، از طریق آگهی های گوگل مشخص شده است.

اینترالینکس متوجه شده است که برخی از کاربران به هنگام جستجو برای بایگانی اطلاعاتی مورد نظر خود کل مشخصات لینک را در صفحه جستجوگر درج می کنند. هر چند وارد کردن کل لینک در صفحه جستجوگر گوگل کار عجیبی به نظر می آید ولی اینترالینکس می گوید که از همین طریق چند صد مدرک شخصی کاربران به دست آنها افتاده است.

گراهام کلولی کارشناس ایمنی اینترنت می گوید اقدامات روزهای اخیر وب سایت دراپ‌باکس این نقطه ضعف را برطرف نکرده است.