Freier Zugang für alle: Peinliche Sicherheitspanne bei Dropbox

Beim beliebten Cloud Storage Dienst Dropbox gab es gestern (Montag) eine mehr als peinliche Datenpanne. Für mehrere Stunden konnten sich die User mit jedem beliebigen Passwort in jeden Dropbox-Account einloggen, auch von Fremden.

Während bei Datenverlusten normalerweise immer eine Art von digitaler Fremdeinwirkung oder gar Gewalt mit im Spiel ist, schaffen es manche Unternehmen auch, sich ganz alleine ein Bein in Sachen IT-Sicherheit zu stellen. Jüngstes Beispiel ist das Unternehmen Dropbox, das Nutzern Online-Speicher in der Cloud anbietet, über den die abgelegten Dateien von jedem Internet-PC der Welt aus verfügbar sind.

Wie zwei Dropbox-Nutzer gleichzeitig bemerkten und auch direkt in das Forum posteten, hatte der Dienst am Montag mit einem hausgemachten Daten-GAU zu kämpfen. Durch eine Panne bei einem Softwareupdate wurde die Anmeldeprozedur samt Authentifizierung quasi völlig lahm gelegt. Plötzlich war es möglich, sich mit jedem beliebigen Passwort an jedem existierenden Dropbox-Account anzumelden. Für rund vier Stunden war der Dienst damit offen wie das sprichwörtliche Scheunentor.

Immerhin scheinen bisher keine Fälle aufzutauchen, in denen sich Übeltäter auf diesem Wege fremde Daten oder gar ganze Accounts angeeignet hätten. Dennoch stellte der Dropbox-Mitbegründer Arash Ferdowsi klar, dass so etwas eigentlich nicht passieren darf, und entschuldigte sich ausladend bei den Nutzern. Dennoch leidet der Ruf unter diesem Vorfall weiter, der bereits der dritte nicht unerhebliche Sicherheitsvorfall bei Dropbox in diesem Jahr ist. So war beispielsweise erst im April der Sicherheitsexperte Derek Newton eher zufällig auf ein Sicherheitsleck im Authentifizierungsmodul gestoßen.

Wer auf Nummer sicher gehen will, kann seine Daten einfach vor dem Hochladen verschlüsseln – damit hilft dem Fremden der Account-Zugang gar nichts mehr.