Los servicios de almacenamiento están a la orden del día. Los usamos para hacer backup de nuestros datos, compartir grandes volúmenes de información… La mayoría de estos servicios te dejan un espacio gratuito y te cobran por querer almacenar mas datos. También suelen incluir restricciones como limitar la velocidad en las descargas. Como uno de los servicios mas usados es Dropbox, junto con un amigo se no ocurrió echarle un vistazo para ver si podíamos encontrar alguna vulnerabilidad en su plataforma para optar al Bug Bounty. Y la encontramos.
Comentarios
Si mal no lo entiendo ¿por qué se habría de saturar Dropbox? El amigo A tiene una carpeta de 35GB ocupando espacio en Dropbox, este la comparte con el amigo B. B no puede aceptarla porque no tiene cuenta premium, pero se saca este truco y logra aceptarla pudiendo usar los 35GB de A (nota: ¿puede usarlos? es decir, puede aceptar esos 35Gb para descargarlos pero ¿puede él subir archivos a esos 35GB indicándole el contador que está usando 35GB de 2GB? lo normal sería comprobar que 35>=2 y no permitir subir)... Con truco o sin truco esos 35GB ya están reservados por A. Entonces ¿por qué habría de saturarse dropbox si esos 35GB ya están cogidos y pagados por A?
#9
Nube personal: Consumo, desgaste, mantenimiento, poca velocidad de subida...
Datos en manos ajenas: Cifrado.
#10 Totalmente de acuerdo. Yo veo las respuestas de Dropbox bastante razonables.
#12 Yo lo veo igual. No se como seran la gente de Dropbox (supongo que si estuvieran con el agua al cuello la cosa cambiaria), pero las respuestas han estado bastante bien en mi opinion. Creo a los expertos en seguridad les fastidia un poco su orgullo Hacker (que lo hallan tachado de bug y no realmente importante) y les han hecho la tactica de ... "ser amable!" temible tactica donde la alla (convierte a muchos leones en gatitos).
Me gusta cuando los servicios al cliente dan respuestas inteligentes y no te toman por tonto (o al menos lo simulan bastante bien).
Estoy con #10, los megas ya están pagados: si no tienes un usuario premium para hacer el "truco" no puedes hacerlo ~~.
Por otro lado Dropbox me parece caro pero es la opción que menos dolores de cabeza me da: Trabajo directamente en Dropbox y tengo siempre respaldo de mis archivos, con comodidad y en todos mis dispositivos (que son muchos). Respecto a la "seguridad de mis datos" reitero lo que siempre he dicho: si no quieres que algo se sepa, no lo enchufes a internet.
Esperaré a ver que trae iCloud, que parece que era mucho más barato.
#13 a mí el l truco me viene genial: en el móvil del curro llevo sincronizado un dropbox "chustero" para no mezclarlo con el personal. Saco fotos de los tickets para gastos, tarjetas de visita, coches de alquiler cuando los cojo y cuando los devuelvo para demostrar que no hay daños etc.
me han dado 48 GB de datos en esa cuenta chustera porque el teléfono de empresa tenía una promoción y quería usarlos en la cuenta personal. Con este truco puedo configurar una carpeta en la cuenta chustera, deshabilitar la sincronización con el móvil de empresa, y usarla realmente con el personal, que ya va pelín justito con 5 GB.
#26 El bug ya está corregido. Y el artículo es una chorrada porque cuando superas el espacio Dropbox deja de sincronizar: ya me pasó con una carpeta compartida que creció demasiado y hasta que no borré cosas no pude subir nada (bajar sí).
#36 hombre... Si el responsable del programa de recompensas por encontrar bugs de Dropbox no creyese que podrían encontrar más, pues no sé para qué cobra.
#38 gracias, tendré que cambiar de estrategia o pasar de los 48 gigas
#39 Yo entendia que era el responsable de seguridad el que insinuaba que los de interfaz de usuario tienen bugs mucho mas interesantes que ese. Vamos, una puyita interna.
#13 Sigues necesitando esa cuenta "premium" =D
#10 No tienes mas que hacerte una segunda cuenta, y compartirla contigo mismo para aumentar el espacio de tu cuenta. Este bug te permite hacerlo sin limitaciones. El problema es que es sencillo de detectar, y te puede caer un baneo por violar los terminos y condiciones del servicio. Ademas, que lo consideren un bug en vezde un problema de seguridad no quiere decir que no lo vayan a arreglar.
#30 Pero la carpeta de 35GB que comparten contigo está alojada en A y tú puedes acceder y usar esos 35GB que están en A desde tu cuenta B pero no tienes 35GB en A y con el truco otros 35GB en B. El espacio sumado de A y B (y C y D y N) sigue siendo el mismo. Tú con el truco puedes usar los 35GB de A pero no te dan 35GB a mayores, por eso te marca que usas 35GB de 2GB que tienes.
De esa premisa parto y eso es lo que entiendo cuando hablan de compartir una carpeta: que están compartiendo su espacio, su carpeta, contigo. Tú sin cuenta premium no puedes acceder a su carpeta tan grande pero con el truco sí. Ahora, tu espacio es el mismo de siempre y el espacio global también.
Pero si me equivoco que alguien me corrija.
P.D: ya lo arreglaron.
Tuve una cuenta de pago en Dropbox. Cuando vi que hacían trampas administrativas tuve claro que tenía que cambiar de servicio. El que es deshonesto en una cosa es deshonesto en general. Si hubiese tenido acciones las habría sacado de allí.
#4 Cuenta algo de esas trampas administrativas! no nos dejes así!
#4 Como te dice #5, no nos pudes dejar así
#1 #2 #3 #4 #6 #8 A ver, en Dropbox si tienes una carpeta compartida más grande que tu espacio libre en la cuenta (cosa que puede suceder si crece después de que la aceptases) o borras cosas o ya no te deja sincronizar. Por eso obviamente no te deja aceptar esas carpetas. Y el artículo describe un bug que permite saltar ese límite e inutilizar tu cuenta hasta que borres algo y vuelvas a tu límite. Una genialidad, vamos...
El artículo es una chorrada. De hecho no hace falta tanta tontería: creas una carpeta vacía en la cuenta de pago, la compartes y la llenas después.
Por esa chorrada le han dado una cuenta y aún se queja...
#9 Sí, la idea no es mala, pero si quieres tener una copia "en la nube" de los datos que hay en tu casa, y el synology está ... en tu casa (lo corriente, vamos) mucha mucha seguridad no estás consiguiendo. Si te roban y se llevan tu ordenador y ty synology, malo. Si se quema tu casa, se quema el ordenador y tu synology, malo. Si se inunda tu casa, lo mismo.
La idea es tener la copia en cualquier otro lado y mantener una copia de trabajo en casa que se sincronice con la que esetá en la nube.
#14 Yo por eso uso Bittorrent Sync y lo tengo todo en el ordenador de mis padres, en su casa. Había pensado en comprarme un Synology de dos discos en espejo, pero es lo que tú dices, si me roban, se quema la casa... se pierde todo. Y además, gratis.
"Así que nada, si no es importante a nadie* le importará que lo hagamos público"
*los de Dropbox, vamos
#1 Meneo por la trolleada de publicarlo
#2 si no ven ningún problema los de Dropbox... (Ojito, que si la gente abusa igual te encuentras que todo lo que has guardado en tu cuenta premium-de-rebote acaba desaparecido cuando cambien el código)
#2 Y ojito a la provocacion del equipo de seguridad de Dropbox: "it is not THE most interesting bug". Sugiriendo que podria encontrar otros...
#0 #1 #2 Dropbox tiene a la criminal de Condoleeza Rice de CEO así que que le den a Dropbox.
#42 Eso no es cierto, Condoleeza Rice es parte del directorio pero el CEO es Drew Houston
http://www.theverge.com/2014/4/11/5605734/dropbox-ceo-defends-adding-condoleezza-rice-to-board
No sé si alguien lo ha comentado ya, pero el sobrepasar tu espacio límite en tu cuenta de dropbox inpide que puedas sincronizar tus propios ficheros, por lo que la cuenta invitada no tendría mucho sentido más que tener acceso a la carpeta compartida y se acabó.
Entiendo que no les importa que se publique la información porque el bug ya está arreglado, al menos eso pone en el último tweet ¿no?
el hecho de que dropbox no se resista a dejar que publiquen una entrada en un blog y diga tan abiertamente que lo puede hacer si quiere es un punto positivo para ellos, o al menos demuestra que no son tan tontos
Para todo lo demás, MEGA.
Tal y como dice #6, he optado por MEGA, Dropbox me ha acabado dando una imagen como de "estado beta de por vida"
#6 #8 nube personal, tipo synology, bittorrentsync o incluso con raspberry pi....
todo lo demás es dejar nuestros datos en manos ajenas, con los peligros y riesgos que tiene.
#6 #8 ¿MEGA? ¿En serio? Me imagino que estamos hablando de películas y música o algo así, porque tener cualquier otra cosa en MEGA es jugar con fuego. Kim Dot Com es un mafioso de mucho cuidado y tiene encima al FBI, cualquier día le vuelven a cerrar el chiringuito.
#15 Sube duplicados allí, en plan backups, para borrar los originales primero cerciórate de que están los duplicados en el buscador de tu disco duro virtual que ofrece MEGA. Así lo uso yo.
Me gustaría que algún disco-nube te ofreciera más espacio, en función del formato de los archivos que crees o subas allí, por ejemplo, si en SkyDrive subo
vídeos en formato .wmv, quiero que me ocupen arriba la mitad de lo que ocupan en mi ordenador, o que si subo un vídeo .avi del mismo tamaño que otro distinto, y con formato .wmv( propio de Microsoft) me ocupe la mitad( me regalen algo de espacio mientras lo tenga arriba) que un archivo de otro formato con el mismo tamaño.
También me gustaría que estos servicios ofrecieran ventajas similares si compartes los archivos, que no te darán si no los compartes con nadie.
Me explico?
#6 Yo probé Mega hace tiempo y me resultó muy desagradable comprobar como a la hora de intentar reconstruir el sistema de carpetas original al descargar los ficheros te los dejaba todos juntos. Esto no sé si lo habrán solucionado, pero a mi me fastidió todo porque tenía miles de ficheros organizados en cientos de carpetas. La solución en su día fue subir todo comprimido con .rar
Yo uso owncloud y estoy muy contento, es igual que dropbox con la diferencia de que tú eres el que gestiona tu propio servidor, en mi caso tengo un servidor en kimsufi que además de usarlo para otras cosas lo uso también para owncloud y son 1000Gb por 12€ al més
Hay quien se cree un "hacker" por modificar cuatro líneas de HTML en un navegador. Y encima con "exigencias" de premio. Demasiado educado ha sido el interlocutor de Dropbox. Desde mi punto de vista, quien queda en evidencia es el autor del post.
Además, seguramente el equipo de web de Dropbox corrigió el "bug" porque era sencillo y no tendrían nada más importante que hacer, porque es la típica incidencia de prioridad ínfima cuando hay otras cosas que hacer.
Lo que hay que aguantar...
Yo he migrado parte de mis mierdas a soporte físico en un cajón y otra a /dev/null
A veces migro a soporte físico parte del ahorro de pasta y me regodeo contemplándolo antes de salir a gastarlo en bienes y servicios.
#11 Yo también mandé todo el porno que se había descargado a /dev/null y lo peté.
Aquí otro que está de acuerdo con Dropbox... ¿cómo vulnera la seguridad de nadie este bug?
* No puede acceder a ningún dato de nadie sin su consentimiento.
* Tampoco se está perjudicanddo al servicio a nivel técnico, porque no se está ocupando espacio nuevo (35 Gigas en disco ocupan lo mismo tengan acceso a ello 1 persona a 30 millones de personas, al menos en principio).
No sé, yo si fuera Dropbox habría hecho lo mismo, la verdad.
Yo dejé de pagar ya hace algún tiempo. Me planteé no pagar por un servicio que puedes obtener gratis. De acuerdo que hay muchas empresas que han abierto un cloud sin calidad y mucha gente acaba volviendo al redil de Dropbox pero después de probar todos los del mercado, me quedé con Copy y allí me llevé todos mis datos. De entrada te dan 15GB y por cada amigo que invites te dan 5GB más, es decir, a poco que un par de conocidos o familiares entren, acabas tendiendo una cuenta bastante decente para tus datos en la nube. Admite todos los soportes y los precios, por si quieres comprar una cantidad elevada de espacio en la nube, son menores que la competencia. En calidad, hasta el día de hoy no he echado a faltar a Dropbox ni un solo minuto.
Para los que quieran probar, desde este link obtendréis 20 GB de bienvenida: https://copy.com?r=N4J1lt
Dropbox no se lleva ni un solo céntimo mío más.
#28
Probado con el móvil de un amigo.
Funciona en muchos sitios, pero en Windows phone, No.
Y como tienen eso en la empresa pues Copy nanai.
#43 Creo que hay un App para Windows Phone: http://wmpoweruser.com/official-copy-cloud-storage-app-now-available-in-windows-phone-store/
#44
Muchas Gracias, no lo sabíamos nadie.
Lo hemos intentado instalar en(son los teléfonos todos) unos Windows phone 7.8 en España.
Y nos sale lo de no disponible para tu región, la leche que les han dado. No lo entiendo.
Como veo que nadie entiende la respuesta de dropbox pego el mismo mensaje que en el blog:
Escritor del blog:
Creo que hay una cosa que no entendéis. Me explico:
Cuando habéis enviado el reporte, ellos lo han aceptado y el equipo técnico ha planeado su reparación, lo que te quieren decir en la primera respuesta es que efectivamente es un bug y lo van a reparar, pero no te pueden colocar el "apartado web de agradecimiento".
No te están diciendo que no lo aceptan, te están diciendo que no pueden colocar tu nombre en la web ya que sólo lo colocan si ayudas a reparar un "security vulnerability" es decir, un error que afecte a la seguridad de la web. En ningún momento deniegan tu reporte.
Pero, ¿no teníamos en marcha un boicot a Dropbox por la entrada de Condolezza Rice?
Campaña contra del fichaje de Condoleezza Rice por parte de Dropbox
Campaña contra del fichaje de Condoleezza Rice por...
teknlife.com#18 Madre mia, no tenia ni idea. La verdad es que llevo varios meses sin pagar dropbox y esto me da mas razones para buscar un servicio alternativo. "No es nada personal Condolezza Rice".
Esto demuestra que no falta gente que es idiota y que no acepta, por sus huevos, que no tiene la razón.
Tampoco creo que esto suponga un problema para dropbox, ni menos que los sature, ya que lo que se comparte ya está almacenado. Lo único que cambia es que permite tener acceso a una funcionalidad que por razones "políticas" no se permite a todos los usuarios.
También me parece bastante buena la actitud de quien contesta a los e-mails, si fuera otra empresa seguramente se pondría tontos ante lo que se podría entender como una estorsión.
- "oye, que entonces si esto no es un problema de seguridad, lo publicamos"
- pues vale
- ok...
a ver si sale ya icloud drive y nos podemos olvidar de dropbox & company