Dropbox: Zugang ohne korrektes Passwort möglich

Bei dem Synchonisations-Dienst Dropbox standen für kurze Zeit zahlreiche Accounts völlig offen. Die Anmeldung konnte ohne die Eingabe eines richtigen Passworts erfolgreich durchgeführt werden. Der Fehler in den Authentifizierungs-Routinen sei ... mehr... Sicherheit, passwort, Authentifizierung Bildquelle: Dev.Arka / Flickr Sicherheit, passwort, Authentifizierung Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Solange sowas passiert kann mir die Cloud gestohlen bleiben. Da hilfts mir auch nicht wenn der Betreiber einsieht das sowas nicht passieren darf. So ein Anbieter sollte von vornherein die höchstmögliche Sorgfalt walten lassen wenn er solche Dienste betreiben will.
 
@DennisMoore: Gestohlen, trifft es genau richtig. ^^
 
@DennisMoore: Also entschuldigung, aber Nutzer die sowas dann noch bei Twitter verbreiten, sind mindestens genauso, wenn nicht so gar noch viel, viel dämlicher. Denn es betrifft ja nicht nur aber insbesondere auch ihren eigenen Account!!!
 
@DennisMoore: solange so fehler nicht auftauchen wird es nie einen fortschritt im cloud computing geben. denn aus fehlern lernt man und wird besser!
 
@-adrian-: Damit hast du natürlich recht, aber es ist sicher keine schlechte Idee andere diese Sicherheitslücken ausbaden zu lassen und es erst zu nutzen wenn es einen entsprechenden Standard erreicht hat. Auf fremden Arsch ist gut durchs Feuer reiten. ;)
 
@-adrian-: Ich denke das ist kein Fehler den man machen muss um ihn mal gesehen zu haben. Sowas kann man testen. Muß man vor der Freigabe halt auch machen. Und Authentifizierungsroutinen testen man auch nochmal extra gründlich wenn man es mit seinem Dienst ernst meint. Aber seit dem Klopper mit der ID in den Konfigurationsdateien die einen Login ohne Zugangsdaten ermöglichen, was sie auch gar nicht schlimm fanden, trau ich denen eh nicht übern Weg.
 
@-adrian-: ich gehe einher mit dem "aus fehlern lernt man" aber durch ein update die login-routine außer kraft setzen? So viele fehler kann man gar nicht machen um zu bemerken dass das nicht der weg ist. haben die keine qualitätssicherung die das mal testet? also das was die da geleistet haben ist schon fahrlässig.
 
@DennisMoore: Man wird einen Dienst nie 100% Sicher konfigurieren/progtrammieren können. Das liegt einfach in der Natur der Sache. Aber immerhin haben Sie sehr schnell drauf reagiert, das ist löblich.
 
@Sam Fisher: Man muß aber schon unterscheiden was für Fehler gemacht werden und ob sie auch auf einem aktuellen Wissensstand vermeidbar gewesen wären. Wenn man alles was man heutzutage schon weiß (Know-How) in so einen Dienst steckt, dann wird einem so ein Fehler nicht passieren.
 
@DennisMoore: doch, wird er. Ich weiß nicht wie gut du Programmieren kannst, aber glaub mir, solche dinge sind weitaus komplexer, als man denkt. Es können einfach Fehler passieren. Dingen die man nicht bedenkt oder die nur auftreten, wenn Clients fehlerhaft arbeiten, race conditions, ... .
 
@Sam Fisher: Schon mal was von Komponententests gehört? Da müßte es spätestens auffallen. Allerdings nicht wenn man mal kurz was zwischen Tür und Angel ändert und die Tests weglässt.
 
@DennisMoore: ja, unittesting und co, egal was du machst, du wirst NIE alle Fehler finden. Naja, du vielleicht schon, aber du bist ja auch so viel besser als die ganzen Programmierer da drausen
 
@Sam Fisher: Ich will auch nicht alle Fehler finden, sondern die Kritischen. Und das bei Dropbox ist ein kritischer. Nur 1 Test ob ein Login ohne oder mit falschem Passwort möglich ist, hätte das wohl verhindert. PS: Wäre ich Entwickler so einer Software würde ich allerhöchste Priorität auf die Sicherheit sowohl der Daten als auch der Loginprozedur legen. Denn ich würde mir sagen, dass wenn eins von beidem oder sogar beides versagt ich das Vertrauen der Leute verspielt hätte. Wahrscheinlich hätte ich mich mit dieser Annahme aber gewaltig getäuscht. Denn heutzutage reicht ja ein "Ups, sorry. Fehler ist behoben" und der Konsumentenzombie ist zufrieden.
 
@DennisMoore: ach du willst die kritischen Fehler zuerst finden? Ja, das wäre durchaus praktisch, mann, warum hat das den Dropbox Leuten wohl niemand gesagt. Falls du das oben inder News nicht ganz verstanden hast, aber es war ja nicht bei ALLEN Usern so möglich, sondern nur bei einigen. Es ist nicht so als hätte der Login da einfach alles mit Return true behandelt...
 
@Sam Fisher: Wäre schon traurig wenn man das den Dropbox-Machern erst noch sagen müsste. Aber ich halte diese Leute eh für so Larifari-Programmierer. Hauptsache fertig werden und so. Und wenns so eine komplexe Angelegenheit gewesen wäre, hätten sie es nicht binnen 30 Minuten fixen können.
 
@DennisMoore: Das DU für so eine bescheuerte Aussage 15 Plus bekommst zeigt nur wie dumm die Menschheit als solches ist. Schau mal , solche Dinge passieren eben !! Das ist das normalste der Welt ! Auch wenn es nicht sein dürfte. Aber hey, niemand dürfte im Auto sterben, kein Flugzeug dürfte vom Himmel fallen, kein Arzt dürfte falsche Diagnosen machen oder falsche Bein amputieren, kein Handy Akku dürfte explodieren, kein Seil dürfte reissen! Was soll das eigentlich ? Werd bitte erwachsen , ich weiss nicht wie alt Du bist, aber deine Aussage lässt auf einen Schüler tippen
 
@vectrex: Ja, die Dinge passieren. Und so lange wie sie passieren kann mich die Cloud mal. Sie wird eines Tages vielleicht mal solide werden, aber im Moment taugts halt noch nichts. Bei Sony verschwinden Daten, bei Amazon wird ne Sicherheitslücke ausgenutzt, bei Dropbox kann man sich ohne richtiges Passwort einloggen... Von mir aus kann jeder gerne das Versuchskaninchen für sowas spielen, aber ich verzichte. BTW: Frag dich doch mal selbst wie viele von deinen Beispielunfällen jeweils vermeidbar gewesen wären wenn man sorgfältiger gearbeitet hätte. Sicherlich viele, wenn nicht sogar die meisten. Und genau das will ich auch für die Clouddienste.
 
@DennisMoore: Dann geh auch nicht mehr zum Arzt, Fliege ja nicht mehr in den Urlaub, fahre kein Zug, hör auf Auto zu fahren, steig auf keine Leiter mehr, geh am besten nicht mehr raus. Denn da draussen passieren soooo viele krasse Dinge, die dürften einfach nicht passieren, Bleib drinnen. VIelleicht gibts mal beim Fliegen ne 100% Garantie oder vielleicht züchten wir mal unfehlbare Ärzte. Mann sorry nichts gegen Dich persönlich, aber das Geschwafel nerft ! Macht doch verdammt nochmals die Augen auf !!! Das Leben ist kein Ponyhof ! Ich nutze Dropbox nach wie vor weiter und auch die Cloud und warum ? Weil sie mir mein kurzes unwichtiges Leben leichter , angenehmer, flexibler macht. Ist doch egal wenn meine Daten mal von jemandem anderen gesehen werden. sind ja nur Buchmanuskripte, Familienfotos, Sourcecode Backups, Filme und Musik, und wenn mal was passiert wirds ehh wieder hergestellt! Wo ist das Problem ? Das kannste bei einem Flugzeug Absturz nicht verlangen!
 
Dropbox... muss man das kennen? :-/
 
@deDigge: ja.
 
@deDigge: du kennst Dropbox nicht? -- Fühl dich ausgelacht :)
 
@deDigge: Müssen nicht, aber es ist von Vorteil. Der Dienst ist nämlich gar nicht mal schlecht und kinderleicht zu bedienen.
 
Und obwohl ich DennisMoores Kommentaren oben zustimme, werde ich diesen praktischen Dienst weiter nutzen. Man muss halt selber wissen, was man in solche Clouddienste hochlädt. Für mich ist es ein prima Dienst, um mit Freunden schnell ein paar Dateien auszutauschen.
 
@deDigge: Ja sicher !!
 
@deDigge: Als jmd der nur entfernt was mit Informatik zutun hat? Ja, sollte man wohl.
 
Ich finde Dropbox toll, vor allem in Bezug PC zu Symbian und zurück :-)
 
Leute anstatt hier rumzumaulen solltet Ihr lieber froh sein, dass Dropbox so eine offene Informationspolitik betreibt, auf den Fehler aufmerksam macht und dafür sorgt, dass dieser behoben wird. Das ist heutzutage leider nicht üblich.
 
@T!tr0: Schon richtig, aber es wäre ihnen wohl auch nichts anderes mehr übriggeblieben nachdem es schon getwittert wurde
 
@jigsaw: Siehe Sony :)
 
@T!tr0: Äähh natürlich ist das üblich?!? Das ist das mindeste, was sie machen können... Was ist denn deiner Meinung nach für so einen bekannten Dienst wie Dropbox heutzutage üblich? Nichts tun und abwarten, bis alle Accounts leergeräumt sind und somit einen irreparablen Imageschaden zu riskieren?
 
@T!tr0: blieb ihne ja nichts anderes übrig. das vertrauen ist bei mir ohnehin schon weg, nachdem ich gelesen habe, dass die daten bei den dropbox servern unverschlüsselt vorliegen und so dritte zugang haben. cloud-service ohne verschlüsselung - ohne mich.
 
Blöde Sache, aber Leute die es über Twitter raus posaunen bevor es gefixt ist, gehören eigentlich gehängt, weil das ne Einladung für den Rest der Welt ist, böse Dinge zu machen. Gute Alternative mit weniger schlechten Schlagzeilen gibts übrigens hier https://www.sugarsync.com/sync_comparison.html
 
@one: Sugarsync hat überhaupt keine Schlagzeilen. Jedenfalls nicht da wo ich lese ^^
 
@one: Könnte aber auch daran liegen, das nur wenige diesen Dienst nutzen. Es ist doch wie mit Windows. Desto mehr User, desto größer werden die Begehrlichkeiten der bösen Buben.
 
Das letzte mal wurde ich gleich angemacht als ich gesagt habe, das Dropbox und Co viel zu unsicher ist... Und jetzt? Perfektes Futter für mich gefunden :D
 
@Magguz: Da wirst du ewig reden können und angemacht werden, bis die Leute begreifen, dass solche Dienste wie Dropbox usw. unsicher sind. Mit solchen Code-Updates hatten ja auch schon T-Mobile, Microsoft usw. usw. so ihre Probleme. Das Problem ist, dass die solche "Updates" am realen System mehr oder weniger "ausprobieren", so nach der Methode "ist ja nur ein kleines Update und das wird schon funktionieren".
 
@drhook: tja - die probleme hast du auch aufm lokalen Rechner. Solang du im Internet haengst ist nichts sicher. Jedoch kann man im Regelfall davon ausgehen das es sicherer ist wenn ein Admin mit Ahnung hinter dem System haengt. Und aus solchen Fehlern lernen die Betreiber und gestalten die Zukunft des Cloud Computing sicherer fuer die Anwender. Aber bleibt ihr mal bei eurem Rueckschritt und frueher war alles besser zeug
 
@-adrian-: ja da bleib ich doch gerne bei meinem Rückschritt... Aber wie du so schön sagst "Aber bleib du mal bei deinem "Fortschritt" und alles neue ist besser zeug"
 
@Magguz: Tja - Ich seh viele Moeglichkeiten in diesem Bereich. Schon in meiner WG hab ich begriffen, dass eine Zentrale Datenhaltung mit Anbindung an das Internet eine wirklich gute Loesung ist. Und das ist ja schon MiniCloud
 
@-adrian-: Es gibt genug Möglichkeiten seine Daten übers Internet verfügbar zu machen! Und das auch Sicher! Dafür muss man aber keinen Account bei irgend ner Firma anlegen! Man muss halt sich nur damit beschäftigen!
 
@Magguz: Aha. Zaehl mir mal bitte 3 Moeglichkeiten auf
 
@-adrian-: warum 3? Richte dir zuhause einen ordentlichen FTP ein...
 
@Magguz: Kann ich vom ordentlichen FTP streamen und Downloads verwalten? Wieso 3? Weil du sagtest genug -.-
 
@-adrian-: man kann über Dropbox streamen? steht nirgendwo! Ja eins reicht dir nicht? Ich brauch meine Daten auch nicht überall, deshalb interessiert mich das Thema nicht wirklich... Und ich bin mir sicher, dass es noch andere Möglichkeiten gibt...
 
@Magguz: Aha - Du bist dir also sicher. Wahrscheinlich so sicher wie Dropbox. Hier geht es um Moeglichkeiten von Cloud Computing un nicht speziell diesem einen Dienst.
 
@-adrian-: Hast dich wohl verlaufen?! Wir befinden uns in der News über Dropbox... also geht es hier hauptsächlich um Dropbox... Grundsätzlich reden wir aber über clouding und das ist in der Regel reine Datenspeicherung im Internet. Fertig...
 
@Magguz: Nein - es zentralisierung von Daten im Internet. Wo wir von Cloud reden ab da :" Dropbox und Co viel zu unsicher ist... Und jetzt?""Es gibt genug Möglichkeiten seine Daten übers Internet verfügbar zu machen!"
 
@-adrian-: Nur weil ich "und co" schreiben, drehen wir aber nicht vom Hauptthema "Dropbox" ab... Wie kommst du darauf dass das so wäre? und mit "Es gibt genug Möglichkeiten seine Daten übers Internet verfügbar zu machen!" Meinte ich nur, dass es bessere Alternativen gibt als Dropbox... Naja lassen wir das...
 
@Magguz: Wer ernsthaft glaubt, dass seine Daten irgendwo im Internet "sicher" sind sollte mal in sich gehen. Man muss sich der Gefahr eines Datendiebstahls bewusst sein und keine zu brisanten oder privaten Daten online ablegen... wenn man das bedenkt und Dropbox lediglich dazu benutzt, "unwichtige" Dateien hin- und herzuschieben dann ist Dropbox eine super Sache. Für meine wichtigen Daten ist und bleibt eine lokale HD unersetzlich, da wird sich auch in 10 Jahren nix dran ändern, und wenn Microsoft mir noch 1000 mal vorschlägt "ab in die Cloud" zu kommen.
 
Darum habe ich meine Sensiblen Daten auf meinem eigenen Server.
Heutzutage ist es doch sehr erschwinglich, einen eigenen Server selbst zu Kaufen.
Darum sollte man das Konzept überdenken, ob man seine Daten einem dritten anvertraut.
 
@edgonzo: Dein eigener Server daheim?
 
@edgonzo: Wieso Server kaufen? Da reicht doch ein PC zu hause völlig aus. Auf ihn kann man doch immer zugreifen. Ist er mal aus, kann man ihn aus der Ferne starten. Einfach per Handy oder über einen Webbrowser. Da reicht doch ein billig PC völlig. Oder eine NAS. Eine NAS finde ich persönlich noch besser. Meine Synology ist immer online und verbraucht im StandBy sehr wenig Strom. Von meiner NAS hole ich Dateien, gucke Fotos oder streame meine Musik von überall. Ist besser als DropBox, finde ich zumindest.
 
@ox_eye: Aber nicht jeder hat 1. Das Geld fuer sowas 2. Das Know How fuer sowas und 3. Die Internetanbindung fuer sowas. Wobei ein Server der physikalisch an einem anderen - von ihm nicht mal zugaenglichen Ort ist wohl keine besonders bessere alternative darstellt -.-
 
@ox_eye: Die NAS-Geschichte macht meine Settop-Box fürs Fernsehgucken gleich mit. SVN repo, Dateispeicher, Datenbank, Mailstore, etc. Eben alles was ich von mehreren PCs aus nutzen will. Die ist stromsparend, immer an und per SSH erreichbar wenn ich mal nen Download starten will oder was aus- oder einchecken. Ist zwar nicht so komfortabel wie ein aktueller Cloud-Dienst, aber dafür sicher.
 
@DennisMoore: Yep, so denke ich auch. Ich habe meine Daten lieber bei mir zu hause als in einer Cloud. Klar, der Upload ist nicht gleich dem Download einer Cloud, aber mir reicht es. Photos und Musik streamen klappt allemal. Zumal man mit den Geräten zu hause noch viel mehr machen kann. FTP Server, Photo Server, Download Station, Mail Server, ITunes Server, Web Server usw. Und die Anschaffungskosten sind wirklich nicht hoch. Die Synology Geräte bekommt man unter 200 Euro und sind kinderleicht zu bedienen.
 
@ox_eye: Und man behält das alleinige Recht an den Daten und tritt sie nicht ganz oder teilweise an die Cloud-Anbieter ab. Und außerdem werden sie nicht einfach so an Strafverfolgungsbehörden rausgegeben. Wenn die klingeln kann man noch schnell mit nem Hammer draufkloppen bis nichts mehr da ist. :D Ich hab ja im Prinzip nichts dagegen meine Daten diesen Behörden zur Verfügung zu stellen, aber nicht so wie die das wollen. Mit Hausdurchsuchung und Beschlagnahme usw. Die sollen mir sagen worum es geht, auf vernünftiger und ruhiger Basis und dann gestatte ich ihnen evtl. Zugang zu meinen Daten.
 
@DennisMoore: Naja er haengt ja offensichtlich am Internet. In dem moment kannst du keine 100% Sicherheit gewaehrleisten. Wie bei jedem Client welcher sich im World Wide Web befindet
 
@-adrian-: Das ist richtig. Aber wie groß sind die Chancen, dass du die IP einer NAS im Internet entdeckst? Du hast doch überhaupt keinen Anhaltspunkt. Kannst ja mal nach einer NAS im Internet suchen. Und dann musst du die NAS auch noch Hacken. Habe noch nie von einem Fall gehört, wo das passiert ist. Da sind die DropBox Server schon eher bekannt. Aber klar, sicher ist nichts.
 
@-adrian-: Es ist ne Portweiterleitung über den Router und mein SSH ist so eingestellt dass es nach 3 fehlgeschlagenen Loginversuchen (auf PKI Basis, nicht auf Passwortbasis) alle weiteren Verbindungsanfragen für 60 Minuten ignoriert. Mag zwar immer noch nicht 100% sicher sein, aber es ist sicher nah am technisch Möglichen.
 
Sensible Daten lagert man nicht auf Dropbox!
 
@Joebot: Man lagert überhaupt nichts auf Dropbox. Für mich würde das höchstens als Tauschbörse dienen, also falls ich mal jemandem ne Datei geben möchte oder so.
 
@DennisMoore: Ach was, sowas wie meine Einkaufsliste bequem am PC schreiben (Brot, Obst, Toilettenpapier ;)) und dann unterwegs vom Handy aus ansehen ist nicht sicherheitsrelevant, dafür ist Dropbox schon sehr gut geeignet. Und es gibt noch mehr Anwendungsfälle für unkritische Daten, die man damit bequem zwischen Rechner und Mobilgeräten austauschen kann. Und sollte man doch mal auf die Idee kommen, sensible Daten hinterlegen zu wollen, dann sollte man jene zuvor selbst verschlüsseln...
 
@FenFire: Du schreibst deine Einkaufsliste am PC, lädst sie in die Cloud hoch und dann wieder runter aufs Handy? Das ist doch völliger Irrsinn. Warum nicht gleich vom PC aufs Handy syncen und dann losfahren? Mein WM6.5-Gerät hat die Datei bei aktiver ActiveSync-Verbindung innerhalb von 5 Sekunden nach Dateispeicherung auf der Speicherkarte. Ich schätze die Hilfe die mir das Internet im Alltag bietet, aber für manche Sachen braucht man es einfach nicht.
 
@DennisMoore: Oh man, Leute! Es gibt auch Zettel und Stift :D
 
@Joebot: Also ICH hab nen Kopf für sowas.
 
@craze89: Naja es würd mich ein bisschen nerven immer wildfremde Menschen zu fragen was nun schon wider auf meiner Stirn steht... Da nehm ich lieber nen Stück Papier oder Handy ;)
 
@Gärtner John Neko: kein ding. beim einkaufen is immer meine freundin dabei, dann leih ich mir einfach ihren handspiegel... manchmal wünschte ich mir, das ich auch als kerl mit gutem gewissen ne riesen handtasche rumschleppen könnte... aber das is mir doch etwas zu ... naja ... "nicht meinem wesen entsprechend" :D
 
Solche Meldungen sorgen immer wieder dafür, dass ich mit den ganzen Cloud-Diensten nicht warm werde. Programme in der Cloud zu nutzen erscheind mir ja teilweise sinnvoll, aber meine Daten mag ich dort nicht ablegen. Am laufenden Band wird über Einbrüche berichtet. Von Banken bis SEGA scheint es anscheinend "nicht so schwer" zu sein, meine Daten zu bekommen. Ich habe einen Router mit USB-Anschluß nebst 8GB-Stick und nutze einen Dienst ala DynDNS. So komme ich auch von überall auf meine Daten. Natürlich ist auch dies sicher knackbar, aber an dem Tag, an dem wie auch immer jemand sich auf meinen Stick verirrt und vorher meinen Zugang zum Router geknackt hat, gehe ich LOTTO spielen.
 
@Addicted2mame: Jaja das internet ist halt kein Spielzeug, nur das haben leider die wenigsten begriffen. Die Welt ist auch noch weit davon entfernt das Internet beherrschbar zu machen. Deswegen macht es auch noch wenig sinn sich 100%ig auf Cloud-Dienste zu verlassen! Davon abgesehen kann man ja, wenn man schon unbedingt wichtige Daten hochladen möchte, diese Verschlüsseln. Dies bietet weitaus mehr Schutz und ist nicht schwer einzurichten. Nur leider ist das ja für die meisten zu viel Aufwand/zu viele Arbeitsschritte/ zu unbequem!
 
Es lebe die Cloud! Ob Claus die Claudia schon gefunden hat?
 
@janeisklar: das nicht, aber Tarzan dich, die jane is klar oder ?
 
@janeisklar: ich kapier den witz einfach nich (wenn da überhaupt einer drin steckt)
 
@Lindheimer: Win7 Werbung ^^
 
Wenn man das alles so verfolgt, nicht nur der Clod Passwortbug, sondern allgemein, verliert man manchmal die Lust überhaupt nochwas innovatives auszuprobieren.
In diesem Zusammenhang:
Da wird Google mit seinem Chrome OS wirklich Probleme haben, denke mal da sitzt schon ne Horde die es nur darauf absehen Chrome OS zu hacken.
 
Tja Dropbox (mh Crapbox :D) ist halt schrott, man kriegt nur 2GB und die Betreiber lügen einen an z.b. mit der Behauptung dass angeblich nichtmal die mitarbeiter zugriff auf die Daten hätten, dabei reicht ein simpler fehler im login system damit jeder zugriff hat. Da nehm ich lieber Windows Live SkyDrive mit 25GB
 
@Suchiman: Jo, und in heutigen Zeiten ist die größen Begrenzung der Files auf 50MB auch noch total zeitgemäss. Oder hat sich das bei WLSD schon geändert? ;) Edit: kk, wurde letzte Woche auf 100MB erhöht! ;)
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles