Bulut servislerine güvenlik uyarısı

Rakip bir hizmet olan Intralinks, ev ipoteği, banka hesapları gibi bazı hayati dosyalara istenmeyen kişilerin ulaşabilmesini mümkün kılan iki önemli sorun keşfetti.

Sorun, esasen bu tür depolama hizmetlerinin kullanıcılarına, dosyaları bağlantı vererek başkalarıyla paylaşmalarını sağlayan işlevle ilgili.
Acil bir önlem olarak Dropbox, daha önce paylaşılmış bağlantıları iptal ettiğini açıkladı ve bundan böyle paylaşılan bağlantıların üçüncü kişilerce görülmesini engelleyen bir önlem geliştirdiğini bildirdi.

Dropbox, sitesine koyduğu notta, "Bağlantı paylaşmanın işiniz açısından hayati bir önem taşıdığının farkındayız ve sebep olduğumuz rahatsızlıktan dolayı özür dileriz. Depoladığınız bilgilerin güvenliği için elimizden gelen herşeyi yapmaya devam edecek ve sizleri son gelişmelerle ilgili olarak sürekli bilgilendireceğiz" dedi.

Dropbox önümüzdeki bir kaç gün içinde eski linklerin de bu güvenlik ihlalinden etkilenmeyecek şekilde yeniden işlevsel olacağını duyurdu.
Box şirketi ise BBC'nin bu güvenlik sorunuyla ilgili sorularını henüz yanıtlamadı.

Güvenlik konularında uzman Graham Cluley, kimlik hırsızlarının rastgele veri toplamak için bu hassasiyetten yararlanabileceklerine dikkat çekiyor ve depolama hizmeti veren şirketlerin daha açık uyarılar yapması gerektiğini düşünüyor.

Ne yapabilirsiniz?

Güvenlik uzmanı Cluley kendi blogunda, Dropbox, Box gibi depolama hizmetlerini kullananların, paylaşmak istedikleri dosyaları koydukları kısma erişimi sınırlama konusunda bazı tavsiyelerde bulunuyor.

Aslında her iki internet sitesi de paylaşılan linklerin güvenliği için önlemler öneriyor ama bunları yaptığınızda kullanım zorlaşıyor.

Cluley, "Bu, bu tür sitelerin daima yüzleşmek zorunda olduğu bir ikilem: Güvenlik ve kullanım kolaylığı ters orantılı" diyor.

Depolama hizmeti sağlayan siteler, kullanıcılara genellikle depoladıkları dosyaları başkalarıyla paylaşabilmek için bir bağlantı adresi oluşturma imkanı veriyor.

Nasıl işliyor?

Böylece kullanıcı, bu bağlantıyı kopyalayarak başka birine gönderiyor, gönderilen kişi de bu bağlantıya tıklayarak dosyaya doğrudan erişiyor.

Bağlantı adresinin karmaşık bir yapıya sahip olması, aslında bu bağlantıya yanlışlıkla ya da tesadüfen istenen kişiden başkasının girmesini hemen hemen imkansız hale getiriyor.

Fakat Intralinks şirketi, bu bağlantılara daha önce öngörülmeyen iki şekilde erişilebileceğini keşfetti.

Öncelikle, paylaşılan linklerin, çoğu zaman internet sitelerinin yönlendirme verilerinde göründüğünü farketti.

Bir çok internet sitesi, ziyaretçilerin sitelerine hangi yolla geldiğini anlamak için yaptıkları işlem trafiği analizlerinde, bu yönlendirme verilerini kullanıyor.

Intralinks, Dropbox'da paylaşılan bir dosyanın içinde herhangi bir internet sitesine link bulunuyorsa ve internet görüntüleyicisinde tıklandıysa, o tıklanan internet sitesi sahibinin, yönlendirme verilerinde paylaşılan Dropbox dosyasının adresini görebileceğini ve dolayısıyla da girebileceğini ortaya çıkardı.

Dropbox, aldığı önlemin bu ilk sorunu çözdüğünü söylüyor.

Google reklamları riski

Ama Intralinks Google'da bir reklam kampanyası yaparken başka bir hassasiyet daha keşfetti.

Google arama motorunda her bir Dropbox veya Box kelimesi arandığında kullanıcıların karşısına Intralinks reklamı çıkması için bir anlaşma yapmıştı.

Google arama motoruna reklam veren şirketlere, daha sonra bu reklamlara kullanıcıların hangi yollarla gelip ulaştıklarına dair veriler yollanıyor.

Intralinks bu verilere bakarak, bir çok insanın Google arama motorunu kullanırken, paylaşılmış bir Dropbox veya Box dosyasının tam adresini kopyalayıp yapıştırdığını gördü.

Bu adresleri görebilen Intralinks, kendisine Google tarafından gönderilen veriler üzerinden bu dosyaları açabiliyordu.
Bir dosya indirme adresini arama motoruna yükleyen çok kişi yoktur sanılabilir ama Intralinks yüzlerce belgeye bu yolla girebildiğini bildirdi.

İnternet güvenlik uzmanı Graham Cluley, Dropbox'un bulduğu çözümün, işte bu ikinci hassasiyeti çözmediğini söylüyor.