Dropbox pozwalał zalogować się każdym hasłem

2011-08-16 12:34

Dwa dni temu w usłudze Dropbox zdarzył się błąd bezpieczeństwa, którego opis w serwisie Pastebin zamieścił @csoghoian. Okazuje się, że w godzinach 19:54-23:59 naszego czasu można było zalogować się do usługi każdym hasłem.

Jeden ze znajomych Christophera poinformował go o problemie, gdy zaniepokojony ostatnimi atakami prowokowanymi przez LulzSec, po przejściu procedury zmiany hasła wpisał je błędnie, a i tak został zalogowany. Kiedy potwierdził błąd przetestował taki sposób logowania również na kontach swoich dwóch znajomych z sukcesem.

Po zgłoszeniu błędu Dropboksowi otrzymał odpowiedź z prośbą o ponowne zalogowanie z użyciem jakiegokolwiek hasła. Gdy potwierdził jego usunięcia Arash Ferdowsi (współzałożyciel i CTO Dropboksa) napisał mu, że był to problem trwający bardzo krótko i że nie ma możliwości, by wystąpił ponownie.

Dropbox nie opublikował dotychczas żadnych informacji na temat możliwych przyczyn wyłączenia sprawdzania hasła. Ze względu na szybkie zgłoszenie błędu istnieje szansa, że niewielu użytkowników z niego skorzystało.


AKTUALIZACJA: Według informacji opublikowanych na blogu Dropboksa możliwość zalogowania się dowolnym hasłem była aktywna przez ponad 4 godziny. Do właścicieli kont dla których odnotowano logowanie w tym czasie wysłano dodatkowe informacje przedstawiające zaistniałą sytuację.

Źródło: geek.com, tłumaczenie na język polski: osnews.pl

Powrót