Un bug sull’autenticazione minaccia la sicurezza su Dropbox

Nel web 2.0 i sistemi di sicurezza si stanno sempre più evolvendo pronti a difendere gli utenti dalle insidie degli hacker e di tutti i personaggi malevoli che vogliono rubare identità o molto di più. I sistemi di sicurezza a doppia verifica sono ormai uno standard, basandosi sul concetto che oltre a usare uno username e una password, si avvalgono anche di un ulteriore livello di autenticazione che si solito si concretizza in un codice di autenticazione inviato tramite un SMS. Nonostante questo un ulteriore bug è stato scoperto in Dropbox proprio in questi giorni.

Bastava conoscere la username e la password della vittima. All'hacker bastava creare un account email finto e simile a quello da violare, piazzando un punto ( . ) nell'indirizzo di posta elettronica, per aprirsi un facile accesso nell'account. A quel punto, abilitando la doppia verifica nell'account finto di DropBox, si poteva salvare il codice di emergenza generato alla fine del processo.

Il codice così ottenuto poteva quindi permettere la disabilitazione del processo di doppia verifica. Facilmente il malvivente poteva uscire dal login dell'account fasullo, eseguire il login di quello della vittima usando le credenziali vere. DropBox avrebbe chiesto quindi di ottenere il codice inviato al cellulare perché naturalmente avrebbe rilevato l'acceso da un computer non autorizzato. Copiando ed incollando il codice di emergenza ottenuto durante la creazione dell'account fake si poteva avere accesso quindi all'account. Chiaramente la falla è stata segnalata a DropBox che ha già prontamente corretto il problema anche se si hanno dubbi sull'efficacia della doppia autenticazione.