I sistemi di sicurezza a doppia verifica sono ormai uno standard e, ricordiamo, si basano sul concetto che oltre a usare uno username e una password, si avvalgono anche di un ulteriore livello di autenticazione che si solito si concretizza in un codice di autenticazione inviato tramite un SMS o in una chiamata al proprio numero di cellulare. Nonostante questo, fino a settimana scorsa era possibile bypassare la doppia verifica di Dropbox, a patto che l'hacker conoscesse username e password della vittima.
Il tutto si spiega col fatto che il famoso servizio di condivisione dati non verificava con la dovuta accuratezza l'autenticità dell'indirizzo email dell’utente che viene utilizzato per creare l'account. Di conseguenza, all'hacker bastava creare un account email finto e simile a quello da violare, piazzando un punto ( . ) nell'indirizzo di posta elettronica, per aprirsi una breccia nella difesa. A quel punto, bisognava abilitare la doppia verifica nell'account finto di DropBox, salvando il codice di emergenza generato alla fine del processo.
Ecco il punto chiave dell'hack: farsi rilasciare tramite un account "assomigliante" a quello della vittima un codice di ripristino. Certo che, però, ce ne vuole di leggerezza per sorvolare sulla gestione dei punti negli indirizzi email...
Tramite questo codice, che viene inviato nel caso l'utente perdesse il proprio telefono, è possibile disabilitare il processo di doppia verifica. Gli step successivi per l'hacking erano quelli di sloggare dall'account fake ed eseguire il login di quello della vittima usando le credenziali "vere", ovviamente supponendo di avere usato con successo un keylogger o una qualche tecnica di phishing.
DropBox avrebbe chiesto quindi di ottenere il codice inviato al cellulare perché naturalmente avrebbe rilevato l'acceso da un computer non autorizzato, ma sarebbe bastato selezionare l'opzione "ho perso il mio cellulare", copiare e incollare il codice di emergenza ottenuto durante la creazione dell'account fake, et voilà. Il processo è semplice ed è dovuto ad una palese dimenticanza del team di sicurezza di DropBox che, però, inizia a rivelare un po’ troppo spesso distrazioni pericolose.
È inutile dirvi (ma lo facciamo lo stesso), che il team di Q-CERT ha segnalato la falla a DropBox e questo giochetto non è più utilizzabile perché è stato corretto prontamente, ma iniziamo ad avere dei dubbi sull’effettiva efficacia del suo team di sicurezza. Per fortuna le alternative non mancano e alcune, anche se meno raffinate, sono proprio sviluppate da aziende di sicurezza.