Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Облачные хранилища с общим числом пользователей в 22 млн содержат серьёзные уязвимости

16/10/24

images - 2024-10-16T115914.975

Исследователи из ETH Zurich провели анализ безопасности пяти популярных услуг облачного хранения данных со сквозным шифрованием: Sync, pCloud, Icedrive, Seafile и Tresorit. В ходе исследования специалисты выявили серьёзные уязвимости на четырёх платформах, пишет Securitylab.

Обнаруженные ошибки позволяют вмешиваться в данные пользователей, подменять ключи шифрования, изменять содержимое файлов, а в некоторых случаях — получать доступ к конфиденциальной информации.

Сервисы активно используются более чем 22 миллионами человек, включая государственные и частные организации, такие как SAP, Pfizer, а также правительства Германии и Канады. В исследовании отмечается, что несмотря на активное продвижение услуг zero-knowledge encryption, маркетинговые заявления компаний не соответствуют реальной безопасности их систем.

Уязвимости включают отсутствие проверки подлинности ключей шифрования в сервисах Sync и pCloud, что позволяет хакерам подменять ключи и получать доступ к зашифрованным данным. В Sync и Tresorit отсутствует механизм проверки подлинности публичных ключей, что также открывает возможность для атак. Сервис Seafile подвержен атакам на понижение уровня безопасности, что позволяет киберпреступникам получить доступ к паролям пользователей.

Кроме того, исследователи выявили проблемы с метаданными файлов: во всех анализируемых сервисах злоумышленники могут изменять названия файлов, местоположение и другие важные параметры, что может привести к подмене файлов или дезинформации пользователей.

Специалисты отмечают, что многие из выявленных проблем можно было бы избежать при правильном использовании криптографических методов. Однако данные уязвимости говорят о том, что экосистема облачного хранения данных с E2EE в текущем виде имеет значительные недостатки, которые требуют срочного внимания со стороны разработчиков.

Темы:ИсследованиеОблачные технологииУгрозысетевые хранилища
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...