Die Macher des Online-Datenspeichers Dropbox melden, dass sich nach einem Code-Update ein gravierender Fehler in den Authentifizierungsmechanismus des Dienstes eingeschlichen hat, der für einige Stunden die Accounts offen legte.
Wie Dropbox-Gründer Arash Ferdowsi im Blog bekanntgibt, tat sich die Lücke am Sonntag für rund fünf Stunden auf, bevor sie entdeckt und geschlossen wurde. Während dieser Zeit sei rund ein Prozent der Dropbox-Nutzer angemeldet gewesen. Der Fehler erlaubte es, sich in Accounts auch ohne korrektes Passwort einzuloggen. Dropbox habe vorsichtshalber alle bestehenden Sessions beendet und versuche nun herauszufinden, ob es unautorisierte Zugriffe auf Accounts gegeben habe. Sollten sich Hinweise darauf ergeben, werde man die betroffenen Nutzer informieren, so Ferdowsi.
Dropbox will laut Ferdowsi nun seine Sicherheitsvorkehrungen verstärken, entschuldigt sich bei seinen Nutzern und hält jegliche Form von unautorisiertem Zugriff für nicht akzeptabel. Letzterem stimmen auch die erbosten Nutzer in ihren Kommentaren zum Blogbeitrag zu. Viele Stimmen dort bemängeln auch, dass Dropbox sie nicht umgehend informiert habe.
