Die gute Nachricht: Der Fehler im Authentifizierungssystem ist inzwischen beseitigt. Die schlechte Nachricht: Bei Dropbox war es für kurze Zeit möglich, sich in beliebige Useraccounts ohne korrektes Passwort einzuloggen.
Über einen Zeitraum von vier Stunden standen sämtliche Nutzeraccounts bei Dropbox offen. Der Fehler sei mit einem Code-Update um 1.54 Uhr Ortszeit eingespielt und um 5.41 Uhr entdeckt worden, schreibt Dropbox-Gründer und Technikchef Arash Ferdowsi in einem Blogeintrag. Um 5.46 Uhr, also fünf Minuten nach Entdecken des Bugs, sei der Fehler korrigiert worden.
Dropbox hat aus Sicherheitsgründen sämtliche Sessions dieser Zeitspanne gespeichert. Ob dabei unerlaubt auf Accounts zugegriffen wurde, wird derzeit untersucht.
Der Fehler war einigen Usern aufgefallen und umgehend über Twitter publiziert worden. Ferdowski kündigte verbesserte Kontrollen und zusätzliche Sicherheitsmaßnahmen an, so etwas solle "nie mehr vorkommen".
