Door een bizarre fout of bug stonden zondag alle accounts Dropbox wagenwijd open. Het enige benodigde was de gebruikersnaam, dit is meestal een e-mailadres. Een wachtwoord was niet nodig, want het systeem accepteerde alle willekeurige wachtwoordcombinaties voor alle accounts.

Alle accounts benaderbaar

De blunder werd ontdekt door iemand die Chris Soghoian tipte. Soghoian is een security-onderzoeker die vorige maand Dropbox heeft aangeklaagd wegens valse privacybeloften. Na bijna vier uur ontdekten ook de Dropbox-beheerders het euvel en braken ze meteen alle sessies af om verdere schade te voorkomen.

Volgens het beheer zijn in de vier uur minder dan 1 procent van de accounts benaderd. Het bedrijf zoekt uit hoeveel ongeoorloofde inlogactiviteiten er zijn geweest. “Dit had nooit mogen gebeuren. We onderzoeken onze controlemechanismen en zullen additionele veiligheidsmaatregelen nemen om herhaling te voorkomen,” aldus Dropbox-cto Arash Ferdowsi.

Zoveelste incident

Het is het zoveelste incident met de razend populaire opslagdienst. In april werd ontdekt dat de Dropbox-client bij het inloggen een token genereert en lokaal opslaat. Alleen met dit token kan ook op andere pc’s worden ingelogd, zonder dat de accounthouder dit merkt.

En sinds mei ligt er een officiële klacht van voornoemde Soghoian bij de FTC. Dropbox zou volgens de aanklacht gebruikers ten onrechte hebben voorgespiegeld dat hun bestanden volledig waren versleuteld en dat Dropbox-medewerkers nimmer de inhoud van bestanden zouden kunnen zien.

Er zijn genoeg alternatieve opslagdiensten die veiliger worden geacht dan Dropbox.