Súlyos jelszókezelési hiba a Dropbox-nál

A webes tárhely szolgáltató cég beismerte, június 20. délutánján egy programozási hiba következtében hatástalanították saját védelmüket és bármilyen jelszóval hozzá lehetett férni a felhasználók adataihoz. A biztonsági rést egy hibás kód frissítés okozta az authentikációs mechanizmusban, melyet 13:54-kor élesítettek a rendszerben. Ezután a rendszerbe gyakorlatilag jelszó megadása nélkül lehetett bejelentkezni. A hibát négy órával később, 17:41-kor fedezték fel a Dropbox szakemberei és öt perc alatt ki is javították.

A cég jelentése szerint a felhasználók kevesebb mint 1 százaléka jelentkezett be a fent említett időszak alatt és azóta ezeket a felhasználókat is kijelentkeztették. A biztonsági csapat most vizsgálja, hogy történt-e illetéktelen hozzáférés bármilyen felhasználói fiókhoz és ígérték, minden érintettet értesítenek.

http://techcrunch.com/2011/06/20/dropbox-security-bug-made-passwords-optional-for-four-hours/
http://news.cnet.com/8301-31921_3-20072755-281/dropbox-confirms-security-glitch-no-password-required/