Ernste Lücke
Dropbox-Konten standen ungeschützt offen
Der beliebte Cloud-Computing Speicherdienst Dropbox hatte gestern Nacht eine schwere Sicherheitslücke. Benutzerkonten waren ungeschützt erreichbar.
Wie Dropbox in seinem Blog mitteilt, gab es in der Nacht vom 20.6. auf den 21.6. ein Code-Update für Dropbox. Dabei ging aber etwas schief, der Anmelde- und Authentifizierungsmechanismus fiel aus. Das hatte zur Folge, dass man sich in jedes Dropbox-Konto ohne Passwort einloggen konnte, sofern man die Mailadresse eines Benutzers kannte.
Die Dropbox-Macher entdeckten diese ernste Sicherheitslücke nach nicht ganz vier Stunden – so lange standen offensichtlich alle oder zumindest ein Teil der Dropbox-Konten ungeschützt offen. Als die Sicherheitslücke entdeckt wurde, handelten die Verantwortlichen sofort – nach weiteren fünf Minuten war die Lücke laut Dropbox geschlossen.
Während dieser „Schwächephase“ soll sich Dropbox zufolge nur eine „sehr kleine Zahl von Nutzern“ eingeloggt haben. Dropbox brach zur Sicherheit alle laufenden Login-Vorgänge ab. Außerdem will Dropbox nach verdächtigen Vorfällen suchen und dann gegebenenfalls die betroffenen Benutzer konkret informieren. Zudem hat Dropbox alle User per Mail informiert, in deren Konten sich jemand eingeloggt hat, während die Sicherheitslücke bestand. Dropbox-Benutzer, die verunsichert sich, können an die Mailadresse support@dropbox.com schreiben.
Die Sicherheitslücke bei Dropbox zeigt in deutlicher Weise, welche Gefahren mit der Nutzung von Cloud Computing-Diensten verbunden sind.
