Dropbox遭遇任意密码登陆重大安全问题

昨天，Dropbox曝出重大安全问题：大约4个小时的时间里，Dropbox用户可以用任意密码登陆自己的账户，也就是说只要知道其他人的邮箱，你就能登陆他们的Dropbox账户。

目前他们已经就此事作出回应表示“在那个时间段（太平洋时间下午1:54到5:46，1:54开始代码更新，5:41发现安全问题，5:46修复），仅有不到1%的用户登陆了自己的Dropbox账户。”现在他们正在调查是否有任何账户受到了不当影响并会立即通知该用户。

显然，令此事更加有趣的还是其曝光来源：美国版打假斗士Christopher Soghoian，不知道大家还记不记得，我们此前还报导过他公开
\nFacebook中伤Google事件和
\nDropbox在安全问题上欺骗用户。不过这次并不是他本人发现的任意密码登陆问题，而是另外一位用户发现后写邮件告诉他的。

Dropbox目前已经进入估值10亿美元俱乐部，甚至还将可能更高。但是这一切都取决于客户是否持续信任他们提供的服务的安全保证。一旦用户安全底线被突破，这10亿帝国也可能很快坍塌。

Via
\nTC