Anmeldung ohne Passwort war möglich

Knapp vier Stunden standen sämtliche Nutzeraccounts bei Dropbox offen. In dieser Zeit war es möglich, sich mit beliebigen Accounts bei Dropbox anzumelden, ohne dabei ein korrektes Passwort anzugeben.

Stellenmarkt

1. Consultant for Digital Transformation and Cloud Solution Engineer (m/f/d)*
   Münchener Rückversicherungs-Gesellschaft Aktiengesellschaft in München, München
2. IT-Systemadministrator mit Schwerpunkt Support (m/w/d)
   Hays AG, Ulm

Detailsuche

Der Fehler sei mit einem Code-Update um 1:54 Uhr Ortszeit eingespielt und um 5:41 Uhr entdeckt worden, schreibt Dropbox-Gründer und Technikchef Arash Ferdowsi in einem Blogeintrag. Um 5:46 Uhr, also fünf Minuten nach Entdecken des Bugs, sei der Fehler korrigiert worden.

In den knapp vier Stunden, in denen sämtliche Dropbox-Accounts für jeden offen standen, haben sich laut Dropbox weniger als ein Prozent der Nutzer eingeloggt. Aus Sicherheitsgründen hat Dropbox sämtliche Sessions dieser Zeitspanne gespeichert, derzeit laufe eine gründliche Untersuchung, um herauszufinden, ob dabei unerlaubt auf Dropbox-Accounts zugegriffen wurde. Sollten bei einem Account verdächtige Aktivitäten auffallen, werde man die entsprechenden Nutzer umgehend informieren, verspricht Ferdowsi.

Einigen Nutzern war die Sicherheitslücke aufgefallen und die Information hatte sich sehr schnell per Twitter verbreitet.

Golem Karrierewelt

1. Airtable Grundlagen: virtueller Ein-Tages-Workshop
   31.08.2022, Virtuell
2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
   22.09.2022, Virtuell

Weitere IT-Trainings

So etwas sollte nie wieder vorkommen, sagt Ferdowsi und kündigt verbesserte Kontrollen und zusätzliche Sicherheitsmaßnahmen an, die einen solch groben Fehler in Zukunft verhindern sollen.