In Dropbox' Umsetzung der 2-Schritt-Anmeldung (auch: 2-Faktor-Authentifizierung) wurde ein Bug gefunden, durch den diese umgangen werden kann.

Haben zwei Nutzer sehr ähnliche E-Mail-Adressen, so kann ein Notfall-Code für die 2-Schritt-Anmeldung, der für einen der beiden generiert wurde, auch für den jeweils anderen Account genutzt werden.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂

Ähnlich wie z.B. Google bei Gmail (siehe support.google.com) scheint auch die Überprüfung von Dropbox einzelne Zeichen wie z.B. Punkte im vorderen Teil der E-Mail-Adresse der Nutzer zu ignorieren, sodass a.b@example.com für diese identisch mit ab@example.com ist.

Kennt man daher E-Mail-Adresse und Passwort eines Nutzers, so genügt es, die folgenden Schritt durchzuführen, um dessen Account zu übernehmen:

  • Eine wie oben beschrieben ähnliche E-Mail-Adresse registrieren,
  • sich mit dieser bei Dropbox anzumelden,
  • für den erstellten Account die 2-Schritt-Anmeldung aktivieren,
  • den angezeigten Notfall-Code merken,
  • in den Account des Opfers einloggen,
  • angeben, dass man sein Smartphone verloren habe,
  • den eigenen Notfall-Code eingeben.

Dropbox arbeitet wohl bereits an einer Korrektur des Fehlers.

Quelle: stadt-bremerhaven.de

Deine Meinung zu diesem Artikel?