Dropbox akzeptierte vier Stunden lang beliebige Passwörter

Ein Software-Update soll schuld daran gewesen sein, dass Nutzer beim Einloggen in ihr Dropbox -Konto beliebige Passwörter angeben konnten. Zwischen 23 Uhr und 3 Uhr (deutscher Zeit) hätten Angreifer diesen Fehler zum unbefugten Zugriff auf die Online-Speicher missbrauchen können.

Nach Angaben der Dropbox-Betreiber sollen im betroffenen Zeitraum jedoch nur Anmeldevorgänge auf weniger als 1 Prozent der eingerichteten Konten stattgefunden haben. Nach vier Stunden habe man den Fehler behoben und alle Sitzungen aus Sicherheitsgründen beendet. Einem Bericht von TechCrunch zufolge hatten zuvor aber bereits andere Nutzer den Fehler bemerkt. Dropbox untersucht derzeit noch, ob es zu unberechtigten Zugriffen kam. Anwender, die den Verdacht eines unbefugten Zugriffs auf ihr Konto haben, sollen sich an den Support von Dropbox wenden.

Der Vorfall zeigt erneut, wie wichtig es ist, die Daten in irgendeiner Form selbst zu verschlüsseln, bevor man sie bei Dropbox hinterlegt. Vor einigen Wochen war der Verdacht aufgekommen, dass Dropbox-Mitarbeiter die Kundendateien einsehen können. Bis dato hatte der Dienstleister aber damit geworben, dass dem Unternehmen anvertraute Daten in manchen Fällen sicherer seien als auf dem eigenen Computer. Dropbox behauptet auf seiner Website nun nicht mehr wie ursprünglich, dass "niemand" die abgespeicherten Daten einsehen kann; das Unternehmen spricht jetzt nur noch von "anderen Dropbox-Benutzern". (dab)