Dropbox: Schwere Sicherheitslücke bestätigt

Wie Dropbox-Technikchef Arash Ferdowsi in einem Blog-Eintrag zugab, war der Online-Speicherdienst in der Nacht auf Dienstag von einem schweren Sicherheitsleck betroffen. Knappe vier Stunden war es möglich, sich bei Dropbox mit einem falschen Passwort anzumelden. Nutzer, die sich beim Einloggen vertippten, bemerkten den Fehler und verbreiteten die Meldung via Twitter.

Schuld an dem Fehler dürfte ein Code-Update gewesen sein. Laut Ferdowsi wurde der Fehler fünf Minuten nach seiner Entdeckung durch die Nutzer beseitigt. Dropbox habe sämtliche Sessions der betroffenen vier Stunden gespeichert, jetzt wird untersucht, ob sich jemand unerlaubt auf ein Konto zugegriffen hat.

In den nächsten Stunden und Tagen will Dropbox alle Nutzer per E-Mail über die Zugriffe auf ihre Accounts informieren. Ferdowsi bezeichnete den Fehler als "inakzeptabel" und versprach, dass so etwas nie wieder vorkommen würde.

Dropbox betreibt keine eigenen Server, sondern ist Kunde bei Amazon. Die gesamten Daten der Kunden liegen verschlüsselt bei den "Simple Storage Services" des Internetkonzerns.

Hilfe von Sophos
Auch die britische Security-Firma Sophos hat auf das Sicherheitsproblem bei Dropbox reagiert und bietet ein kostenloses Tool namens "Sophos Free Encryption" an, mit dem man etwa den Dropbox-Ordner, den man online speichert, verschlüsseln kann.