Dropbox: Anmeldung ohne Passwort war möglich
Knapp vier Stunden standen sämtliche Nutzeraccounts bei Dropbox offen. In dieser Zeit war es möglich, sich mit beliebigen Accounts bei Dropbox anzumelden, ohne dabei ein korrektes Passwort anzugeben.
Der Fehler sei mit einem Code-Update um 1:54 Uhr Ortszeit eingespielt und um 5:41 Uhr entdeckt worden, schreibt Dropbox-Gründer und Technikchef Arash Ferdowsi in einem Blogeintrag. Um 5:46 Uhr, also fünf Minuten nach Entdecken des Bugs, sei der Fehler korrigiert worden.
In den knapp vier Stunden, in denen sämtliche Dropbox-Accounts für jeden offen standen, haben sich laut Dropbox weniger als ein Prozent der Nutzer eingeloggt. Aus Sicherheitsgründen hat Dropbox sämtliche Sessions dieser Zeitspanne gespeichert, derzeit laufe eine gründliche Untersuchung, um herauszufinden, ob dabei unerlaubt auf Dropbox-Accounts zugegriffen wurde. Sollten bei einem Account verdächtige Aktivitäten auffallen, werde man die entsprechenden Nutzer umgehend informieren, verspricht Ferdowsi.
Einigen Nutzern(öffnet im neuen Fenster) war die Sicherheitslücke aufgefallen(öffnet im neuen Fenster) und die Information hatte sich sehr schnell per Twitter verbreitet.
So etwas sollte nie wieder vorkommen, sagt Ferdowsi und kündigt verbesserte Kontrollen und zusätzliche Sicherheitsmaßnahmen an, die einen solch groben Fehler in Zukunft verhindern sollen.