Dropbox: Zugang ohne korrektes Passwort möglich

Bei dem Synchonisations-Dienst Dropbox standen für kurze Zeit zahlreiche Accounts völlig offen. Die Anmeldung konnte ohne die Eingabe eines richtigen Passworts erfolgreich durchgeführt werden. Der Fehler in den Authentifizierungs-Routinen sei inzwischen aber Behoben, teilten die Betreiber mit. Das Problem wurde durch ein fehlerhaftes Code-Update ausgelöst, erklärte Arash Ferdowsi, Mitbegründer und Technikchef des Dienstes in einem Blog-Posting. Dieses erfolgte nach kalifornischer Ortszeit um 13:54 Uhr, also heut Nacht um 00:54 Mitteleuropäischer Zeit. Knapp vier Stunden später sei man auf den Bug aufmerksam geworden und habe ihn binnen fünf Minuten beheben können.

In dem Zeitraum hätten in weniger als einem Prozent aller Accounts überhaupt Anmeldungen stattgefunden. Unklar ist derzeit, ob es dabei auch Logins gab, bei denen Anwender die Sicherheitslücke ausnutzen und auf fremde Konten zugriffen. Sicherheitshalber habe man alle Sessions beendet, so dass sich nun alle Nutzer erneut mit ihrem Passwort einloggen müssen, so Ferdowsi.

Das Dropbox-Team untersucht derzeit, ob es Hinweise auf unbefugte Zugriffe gibt. Dies könnte sich beispielsweise in einem plötzlichen unnormal hohen Download-Volumen ausdrücken. Sollten entsprechende Fälle gefunden werden, wolle man die betroffenen Nutzer noch einmal gesondert kontaktieren, hieß es. Besorgte Anwender könnten sich aber auch selbstständig beim Support melden.

"So etwas sollte nie passieren", erklärte Ferdowsi entschuldigend. Er kündigte an, dass man als Lehre aus dem Fehler die Kontrollmechanismen verstärken und zusätzliche Sicherheits-Ebenen einziehen werde. Zur Stunde arbeiten die Techniker noch immer an der Analyse von Logfiles.

Aufgefallen war die Sicherheitslücke zuerst einigen Anwendern. Ein Teil von diesen informierte wohl das Dropbox-Team, während andere via Twitter über den Fehler berichteten. Sicherheit, passwort, Authentifizierung Dev.Arka / Flickr