Súlyos jelszókezelési hiba a Dropbox-nál

A webes tárhely szolgáltató cég beismerte, június 20. délutánján egy programozási hiba következtében hatástalanították saját védelmüket és bármilyen jelszóval hozzá lehetett férni a felhasználók adataihoz. A biztonsági rést egy hibás kód frissítés okozta az authentikációs mechanizmusban, melyet 13:54-kor élesítettek a rendszerben. Ezután a rendszerbe gyakorlatilag jelszó megadása nélkül lehetett bejelentkezni. A hibát négy órával később, 17:41-kor fedezték fel a Dropbox szakemberei és öt perc alatt ki is javították.

A cég jelentése szerint a felhasználók kevesebb mint 1 százaléka jelentkezett be a fent említett időszak alatt és azóta ezeket a felhasználókat is kijelentkeztették. A biztonsági csapat most vizsgálja, hogy történt-e illetéktelen hozzáférés bármilyen felhasználói fiókhoz és ígérték, minden érintettet értesítenek.

http://techcrunch.com/2011/06/20/dropbox-security-bug-made-passwords-optional-for-four-hours/
http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »