A dropbox.com mistake and vulnerability
Мы вернулись из отпуска в Мексике. Там было хорошо, но мало (чем мы думали, когда покупали билеты так, что два дня тратились на перелеты, а в самой Мексике было всего три дня отдыха, я не знаю).
Но запись не об этом.
я почитала новости про Украину, и у меня волосы стали дыбом, и закончились слова.
Но запись не об этом.
Я почитала комментарии к записям у других про Украину, и уже закончившиеся слова появились опять, но они почему-то все непечатные. Главный вопрос: почему все валят все на Госдеп США. Это действительно загадка. Ну то есть я понимаю, что Киселевскому ТВ так удобно, но почему в это верят так сердечно?
Но запись и не об этом.
А запись, на самом деле, как показывает тема, про Дропбокс. У меня с ним получилась глупая ситуация, про которую я хочу рассказать в том числе в качестве предостережения другим.
Вчера брат спросил, куда сбрасывать совместные фотографии с Мексики, и я решила наконец-то завести себе собственный аккаунт на дропбоксе. Я помню, что когда-то открывала какие-то аккаунты на дропбоксо-подобных сервисах, но толком ничем не пользовалась.
Пошла на dropbox.com и попыталась зарегистрироваться под своим gmail адресом. "А ваш адрес у нас уже в системе", -- сообщил мне дропбокс. "Вы хотите обнулить пароль?"
"Надо же, значит я и на дропбоксе уже регистрировалась", -- подумала я, и нажала на кнопку, чтоб мне прислали письмо на обнуление пароля. Письмо мне пришло тут же, и оно было по русски. "Странно", -- подумала я, потому что я никогда не переключаю никакие сервисы на русский, "ну да ладно; может я регистрировалась на родительском компьютере, где русский установлен по умолчанию и сайт это как-то считал".
Потом я пошла по ссылке, изменила пароль, и, залогинившись в дропбокс, была приветствована словами "Здравствуйте, Людмила Гагаева". Я тут не выдам никаких тайн, если скажу, что я никакая не Гагаева, и это даже совсем не близко ни с одним из моих псевдонимов. А дальше оказалось, что там полные директории фотографий, закачанных с телефона и бекапов этого телефона больше, чем за год.
То есть кто-то по ошибке ввел мой email когда регистрировал аккаунт на дропбоксе, и все это время им спокойно пользовался. Shame on dropbox за то, что они давали пользоваться без подтверждения адреса.
А теперь получается такое дело: у меня под контролем чужие фотографии, и что с ними делать, я не знаю, потому что настоящего адреса этой Людмилы Гагаевой у меня нет, конечно (ее имя я здесь изменила, чтоб не светить им на весь интернет, так что не надо забивать в поисковик). А у нее доступа к аккаунту в дропбоксе больше нет и не будет, я надеюсь.
Стереть все и забыть? Искать в гугле и отсылать письма всем Людмилам Гагаевым?
Но на самом деле больше меня беспокоит вот какая дыра в этом: доступ на дропбоксе к другим аккаунтам дается тоже через те же юзернеймы, которые email адреса. Вот что я имею в виду: у моего мужа есть свой дропбокс, с папкой в которую он складывает некоторые наши документы, в том числе с личной и финансовой информацией. И он послал мне приглашение и доступ к этой папке. К счастью, он послал приглашение на другой гмейловый адрес, чем этот мой основной (вот она удача из-за того, что у меня этих адресов, как гуталина!). А если б послал на основной, то, получается, у какой-то Людмилы Гагаевой был бы полный доступ к нашим личным документам, потому что дропбокс не потрудился получить подтверждение аккаунта прежде чем давать ей доступ, а ее не побеспокоило, что она не получила от них подтверждения.
Короче: проверяйте, что вы получили подтверждение email адресов от веб-сервисов, а то может получиться нехорошо с обеих сторон (у меня теперь ее фотографии и бекапы телефона, а у нее могла бы быть наша личная информация).
Но запись не об этом.
я почитала новости про Украину, и у меня волосы стали дыбом, и закончились слова.
Но запись не об этом.
Я почитала комментарии к записям у других про Украину, и уже закончившиеся слова появились опять, но они почему-то все непечатные. Главный вопрос: почему все валят все на Госдеп США. Это действительно загадка. Ну то есть я понимаю, что Киселевскому ТВ так удобно, но почему в это верят так сердечно?
Но запись и не об этом.
А запись, на самом деле, как показывает тема, про Дропбокс. У меня с ним получилась глупая ситуация, про которую я хочу рассказать в том числе в качестве предостережения другим.
Вчера брат спросил, куда сбрасывать совместные фотографии с Мексики, и я решила наконец-то завести себе собственный аккаунт на дропбоксе. Я помню, что когда-то открывала какие-то аккаунты на дропбоксо-подобных сервисах, но толком ничем не пользовалась.
Пошла на dropbox.com и попыталась зарегистрироваться под своим gmail адресом. "А ваш адрес у нас уже в системе", -- сообщил мне дропбокс. "Вы хотите обнулить пароль?"
"Надо же, значит я и на дропбоксе уже регистрировалась", -- подумала я, и нажала на кнопку, чтоб мне прислали письмо на обнуление пароля. Письмо мне пришло тут же, и оно было по русски. "Странно", -- подумала я, потому что я никогда не переключаю никакие сервисы на русский, "ну да ладно; может я регистрировалась на родительском компьютере, где русский установлен по умолчанию и сайт это как-то считал".
Потом я пошла по ссылке, изменила пароль, и, залогинившись в дропбокс, была приветствована словами "Здравствуйте, Людмила Гагаева". Я тут не выдам никаких тайн, если скажу, что я никакая не Гагаева, и это даже совсем не близко ни с одним из моих псевдонимов. А дальше оказалось, что там полные директории фотографий, закачанных с телефона и бекапов этого телефона больше, чем за год.
То есть кто-то по ошибке ввел мой email когда регистрировал аккаунт на дропбоксе, и все это время им спокойно пользовался. Shame on dropbox за то, что они давали пользоваться без подтверждения адреса.
А теперь получается такое дело: у меня под контролем чужие фотографии, и что с ними делать, я не знаю, потому что настоящего адреса этой Людмилы Гагаевой у меня нет, конечно (ее имя я здесь изменила, чтоб не светить им на весь интернет, так что не надо забивать в поисковик). А у нее доступа к аккаунту в дропбоксе больше нет и не будет, я надеюсь.
Стереть все и забыть? Искать в гугле и отсылать письма всем Людмилам Гагаевым?
Но на самом деле больше меня беспокоит вот какая дыра в этом: доступ на дропбоксе к другим аккаунтам дается тоже через те же юзернеймы, которые email адреса. Вот что я имею в виду: у моего мужа есть свой дропбокс, с папкой в которую он складывает некоторые наши документы, в том числе с личной и финансовой информацией. И он послал мне приглашение и доступ к этой папке. К счастью, он послал приглашение на другой гмейловый адрес, чем этот мой основной (вот она удача из-за того, что у меня этих адресов, как гуталина!). А если б послал на основной, то, получается, у какой-то Людмилы Гагаевой был бы полный доступ к нашим личным документам, потому что дропбокс не потрудился получить подтверждение аккаунта прежде чем давать ей доступ, а ее не побеспокоило, что она не получила от них подтверждения.
Короче: проверяйте, что вы получили подтверждение email адресов от веб-сервисов, а то может получиться нехорошо с обеих сторон (у меня теперь ее фотографии и бекапы телефона, а у нее могла бы быть наша личная информация).