常看電腦玩物的朋友都知道我很喜歡使用雲端服務,不過今年以來各種雲端服務發生的安全問題也確實有點多得令人警惕,例如密碼管理服務「Lastpass」的被攻擊意外。雖然這些事件目前都尚未真正造成大量無可挽回的悲劇,但是當雲端科技即將成為普及工具前,在自我管理、對外防護上確實還有許多需要進步的地方;起碼在世界末日來臨前,還是要造個方舟因應一下才算善盡人事。
而今天遭遇資安問題的,則是現在非常受歡迎,在台灣也有廣大用戶群的雲端檔案同步服務:「Dropbox」,而且這次是Dropbox自己犯下錯誤而差一點造成大危機。
根據Dropbox官方部落格的說明:「Yesterday’s Authentication Bug」,在太平洋時間6月19日的下午1點54分,因為Dropbox內部更新而引發用戶登入認證上的錯誤,結果造成可能在那段時間用「任何密碼」都能登入用戶帳號!!Dropbox在下午5點41分發現這個問題,並且在5點46分修復,也就是說在將近四個小時的時間裡,用戶帳號被放置在具有極大潛在危險的情況下。
Dropbox說法還是有一點點模糊,它們提到大概只有不到1%的用戶可能會受到影響,但是沒有提到這個登入錯誤會造成所有人都能用任何密碼登入所有帳號嗎?還是只有某些帳號受影響?
「TechCrunch」的報導則引用了首先發現這個問題的來源,提到該用戶發現自己居然可以用錯誤的密碼登入自己的Dropbox,甚至也可以用任何密碼登入朋友的Dropbox!當然,是在那天的那4個小時之間。
回到Dropbox的官方聲明中,他們目前已經將「在那4個小時中」登入的帳戶全部「強制登出」,並且提到接下來將緊密追蹤用戶帳號的登入與使用情況,如果有異常會主動提醒用戶。在這裡我也提醒大家,接下來一兩天最好多多關注一下自己Dropbox的情況,注意有沒有異常使用情況。
當然,Dropbox「發誓」他們以後不會再犯這樣的錯誤,而當然我也不會因此就不使用Dropbox(參考:Dropbox 雲端資料同步軟體能用來幹嘛?10個我最常被滿足需求),只是各個雲端服務的安全問題確實是值得被更加的重視,雖然我知道有些問題不是簡單就能解決,但我也不希望自己真的要用「TrueCrypt」加密整個資料夾再同步。
因為這次的問題看起來最終的影響應該不大,所以最後我們還是可以說笑一下。
其實仔細想想,在現在與未來的網路世界中,「他人」將是關鍵因素,不管是社群中透過人與人之間的信任來傳播資訊,或是雲端工具中透過人與人之間的信任來提供服務,在Web 3.0中我願意讓「他人」來告訴我什麼是重要的內容,我也願意讓「他人」來幫我管理重要資料,因為這樣的效果、效率都最好。
在這樣的網路時代,其實科技再次把主導權還給了人,而我們就必須在網路中建立起新的人際互動結構,這裡面可能包含了新的道德觀等等元素,而這些潛規則的醞釀,或許比制定所謂的HTML5共通標準還要更難但也更重要。
"