Über den Hauseigenen Blog lies Dropbox verlauten, dass die kurzzeitig ein schwerwiegender Sicherheits Problem hatten. Ein kleiner Programmierfehler erlaubt es den Dropbox Nutzern mit einem frei gewählten Passwort auf fremde Dropbox Dateien zuzugreifen. Die Sicherheitslücke bestand gestern Nacht zwischen 22.54 Uhr und 2.46 Uhr.
Aktuell untersucht der online Dienst weitere Möglichkeiten für zusätzliche Sicherheit, damit ein solches Leck nicht mehr auftauchen sollte. Es ist ja noch nicht all zu lange her, war schon mal in den Medien, dabei ging es aber um die zentrale Verschlüsselung des Synchronisations ist es.
Grundsätzlich gilt hier wie überall da ihm der gelagert und wichtig sind, diese auch anständig zu verschlüsseln damit ein fremder, wenn er schon an die Daten rankommt mich nichts damit anfangen kann.
(Via)
Finde es super, dass Pokipsie dieses Thema aufgreift.
Folgendes möchte ich anmerken:
1. Jeder der in der Cloud Daten abspeichert, muss sich bewusst sein, dass ein Restrisiko bleibt. Nur wer Client-seitig verschlüsselt, ist da auf der doch sichereren Seite, das stimmt.
2. Dass ein Update über Stunden eine offene Sicherheitslücke hinterlässt, die so gravierend ist, fällt mir schwer zu verstehen. So ein Bug MUSS früher auffallen, sei es durch menschliche bzw. nicht-menschliche Kontrollmechanismen.
3. Ich hätte mir erwartet, dass Dropbox nicht erst nach über 10 Stunden über diesen Super-GAU berichtet hat. 1% der User sind betroffen (damit wohl geht die Anzahl wohl in den 5-stelligen Bereich!)
4. Dropbox fand es auch nicht der Mühe wert, alle User sofort über Email und Twitter (@dropbox und @dropboxOps) zu informieren, eine sehr schlechte Kommunikationspolitik.
So gut ich Dropbox bis jetzt gefunden habe, diese Kommunikationspolitik ist für mich nicht wirklich nachvollziehbar.