In Dropbox' Umsetzung der 2-Schritt-Anmeldung (auch: 2-Faktor-Authentifizierung) wurde ein Bug gefunden, durch den diese umgangen werden kann.

Haben zwei Nutzer sehr ähnliche E-Mail-Adressen, so kann ein Notfall-Code für die 2-Schritt-Anmeldung, der für einen der beiden generiert wurde, auch für den jeweils anderen Account genutzt werden.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können.

Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? Das wäre jedenfalls sehr nett! :-)

Ähnlich wie z.B. Google bei Gmail (siehe support.google.com) scheint auch die Überprüfung von Dropbox einzelne Zeichen wie z.B. Punkte im vorderen Teil der E-Mail-Adresse der Nutzer zu ignorieren, sodass a.b@example.com für diese identisch mit ab@example.com ist.

Kennt man daher E-Mail-Adresse und Passwort eines Nutzers, so genügt es, die folgenden Schritt durchzuführen, um dessen Account zu übernehmen:

  • Eine wie oben beschrieben ähnliche E-Mail-Adresse registrieren,
  • sich mit dieser bei Dropbox anzumelden,
  • für den erstellten Account die 2-Schritt-Anmeldung aktivieren,
  • den angezeigten Notfall-Code merken,
  • in den Account des Opfers einloggen,
  • angeben, dass man sein Smartphone verloren habe,
  • den eigenen Notfall-Code eingeben.

Dropbox arbeitet wohl bereits an einer Korrektur des Fehlers.

Quelle: stadt-bremerhaven.de

Dieser Artikel beschäftigt sich u.a. mit dem Thema "Sicherheitslücke".
Sollte dich dieses Thema interessieren, so kannst du gerne die Sonderseite "Phishing, Malware & Spam", auf der stets über aktuelle Bedrohungen berichtet wird, besuchen und ggf. abonnieren.

Jetzt bist du dran: Was denkst du?

Bitte beachte: Auch wenn das Angeben einer E-Mail-Adresse optional ist, so bist du doch nicht vollständig anonym, denn u.a. deine IP-Adresse wird mit dem Absenden dieses Formulars gespeichert.



Tastenkürzel


Überall

j: Älterer Artikel

k: Neuerer Artikel

s: Suchen

h: Hilfe


Auf Artikel-Seiten

t: Auf Twitter posten

f: Auf Facebook posten

g: Auf Google+ posten