Peinliche Panne: Dropbox für knapp vier Stunden offen wie ein Scheunentor

Kein Kommentar Autor: Jürgen (jdo)

Dropbox Logo 150x150Dropbox hat zugegeben, dass am Sonntag den 19. Juni 2011 fehlerhafter Code eingespielt wurde. Dieser erlaubte das Anmelden ohne jegliche Authentisierung. Somit konnte theoretisch jeder auf alle Dateien zugreifen, die in der Dropbox-Datenwolke liegen.

Der Fehler trat am Sonntag Abend (22:54) auf und blieb für fast vier Stunden unbemerkt (2:41 Montagmorgen). Binnen fünf Minuten wurde ein Update eingespielt und alle aktiven Sitzungen terminiert. Laut Dropbox ist nur ein Prozent aller Anwender von dem Faux Pas betroffen. Der Dienstleister will alle Anwender informieren, auf deren Konten Login-Aktivität in dieser Zeit war.

Dropbox hatte dieses Jahr schon einiges an Fett in Sachen Sicherheit weg bekommen. Man sagte dem Cloud-Dienst nach, dass die schwache Sicherheit ein Designfehler ist. Dateiberechtigungen ließen sich umgehen, indem man einfach Datei-Hashes tauscht. Ein Entwickler hat eine Applikation mit Namen Dropship entworfen, mit dem sich Dropbox als Filesharing-Dienst nutzen ließ. Dropship funktioniert allerdings wegen Systemänderungen nicht mehr.

Im April fand ein Sicherheits-Experte heraus, dass sich Dropbox-Konfigurations-Dateien einfach auf einen anderen Rechner kopieren ließen und man damit Zugriff auf die Dropbox anderer Leute haben konnte. Dropbox hat in der Zwischenzeit einen Client mit höheren Sicherheits-Standards ausgeliefert. Ebenso wurde die Aussage “Niemand kann Dateien auf Dropbox einsehen” revidiert. Mitarbeiter hätten Zugriff auf Dateien, wenn dies von Rechtswegen her notwendig sei.




 Alle Kommentare als Feed abonnieren

Kommentare sind geschlossen.