Dropbox 2-Faktor-Authentifizierung kann leicht ausgehebelt werden
Vor rund 10 Monaten wurde bei Dropbox die 2-Faktor-Authentifizierung eingeführt. Wie nun heraus kam, lässt sich diese mit einem relativ einfachen Trick umgehen, falls man die Logindaten (Username + Passwort) zur Verfügung hat.
Der Trick liegt in der verwendeten Email-Adresse und den Notfallcodes, die man sich schicken lassen kann. Ist der betroffene Nutzer zum Beispiel mit xxxxxx@yyy.com registriert, kann man sich eine neue Emailadresse machen, die einen Punkt enthält, also xxx.xxx@yyy.com. Dropbox registriert den Punkt bei der Emailadresse nicht und aktiviert die 2-Faktor-Authentifizierung. Gibt man nun an, dass man sein Handy verloren hat, erhält man einen Notfallcode und hat vollen Zugriff auf den Account.
[werbung] Natürlich muss man erst einmal Nutzername und Passwort des Nutzers haben, in dessen Account man eindringen will (wobei sich mir die Frage stellt, ob man so nicht auch die Lost Password Funktion nutzen könnte), hat man diese aber, ist es leicht, die vermeintlich sicherere 2-Faktor-Authentifizierung zu umgehen. Dropbox scheint bereits an einem Fix zu arbeiten, was wiederum auch nicht allzu schwer sein dürfte, da man ja nur eine exakte Abfrage der Emailadresse vornehmen müsste.
Wird geladen ...
Dropbox? 2 GB Daten kostenlos? Nutzt das noch jemand? Leute, es gibt COPY. Von Barracuda Networks. 20 GB gratis mit diesem Link https://copy.com?r=A2IFxU Apps für Windows, Linux, iOS und Android kostenlos.
Da ich bei Dropbox meine gmail Adresse nutze, dürfte dieser „Trick“ ja nicht für andere funktionieren richtig? Da ja niemand meine Addy mit einem Punkt registrieren kann.
@PsychoHH: Richtig.
@Schlaflos: Studenten nutzen Dropbox, weil sie über verschiedene Aktionen etliche GB Freivolumen bekommen haben, ich habe mehr als 40GB so zusammengesammelt.
Apropos Dropbox – Ich würde mich über etwas Extra Speicher freuen: http://db.tt/aZJ9nCfs
🙂
Ich würde mich über sehr freuen, wenn ihr euch über meinen Link registriert:
https://copy.com?r=aeFLPW
Man kann sich Notfallcodes zuschicken lassen? Das wäre ja schön. Leider komme ich seit einigen Monaten nicht mehr in meinen Dropbox-Account, da ich meinen sogenannten „16-stelligen einmaligen Zugangscode“ damals nicht notiert habe. Kann mir da jemand helfen?
@Schlaflos
Geil! Jetzt hast du eine Festplatte in der Cloud. Und wie teilst du Dinge mit anderen, wenn NIEMAND diesen Dienst nutzt? Dropbox lebt von der Masse an Usern.
@Schlaflos auf der copy.com homepage kann ich nicht alle informationen erhalten. vielleicht kannst du mitteilen ob folgende dropbox-punkte bei copy.com auch funktionieren
1. eine 10GB-datei wird um 50byte verändert. werden dann 10Gb oder 50byte hochgeladen ?
2. bereits hochgeladene 100GB werden gelöscht sind aber ohne volumenberechnung über packrat für 39$ jährlich jederzeit wiederherstellbar. umsonst wären es 30tage
3. handelt es sich bei den preisangaben um echte endbeträge oder plus mehrwertsteuer ? Beispiel: dropbox echter endbetrag gegenüber gdrive beträge plus mehrwertsteuer
4. versionierung der gespeicherten daten
5. geschwindigkeit. dropbox real 5 bis 6 mbit upload bei 10mbit vdsl-upload max
6. lan-internes kopieren geht bei dropbox nur dann wenn die daten bereits einmal hochgeladen wurden. gaht lan-internes kopieren bei copy-com bereits ohne das vorherige hochladen zum copy-server ? also so wie bei cubby ?
@Schlaflos Nachtrag
7. wenn daten einmal zu dropbox hochgeladen sind sie beim nächsten upload der gleichen daten in wenigen sekunden dort sichtbar weil sie auf dropbox gespeichert bleiben. auch wenn ein anderer die gleiche datei uploaded.
funktioniert copy.com auch in verbindung mit truecrypt containern?
@Sonja, das Gleiche ist mir leider auch passiert. Ich hatte die 2-Faktor-Authentifizierung aktiviert und blöderweise mein Smartphone zurückgesetzt. Zu der Zeit hatte ich keine Möglichkeit mehr mich Online einzuloggen.
Glücklicherweise hatte ich aber noch auf einem Rechner Dropbox fest installiert. Denn 3 Wochen nachdem ich mich „ausgesperrt“ hatte, wurde die Desktop-Version aktualisiert, sodass man mit einem Klick auf das Dropbox-Icon und danach auf „Dropbox.com“ ohne Logindaten in seinen Online-Account gelangt.
Aber ich vermute du hast keine installierte Dropbox-Version?!
@Schlaflos: Copy ist in der Tat gaz nett, aber wie Du auf soviel GB gekommen bist, ist mir ein Rätsel. Als es rauskam, habe ich mich auch registriert und die Werbetrommel für Referrallinks gerührt. Brachte gar nichts, weil die meisten mit Dropbox, GDrive und Co. zufrieden sind. Und im Preismodell von Copy klappt zwischen „Free“ und „250GB“ leider eine riesige Lücke 🙁
Möchte mich herzlich bedanken. Bin über Nacht um 40 GB „reicher“ geworden. Durch Leute, die offenbar mein Posting hier gelesen haben.
@Matze B. Es war ein Versuch, ich habe seit ca. 4 Wochen in verschiedenen Foren die Links hinterlassen. Durchschnittlich 4x 5 GB pro Woche sind möglich. Bin jetzt bei 207 GB.
Und sonst: nein, TrueCrypt-Container hochladen, was verändern und nur die Veränderung wird synchronisiert geht nicht. Geht auch nur bei Dropbox, und so ganz koscher kommt mir das nicht vor. Ist der Container danach wirklich 1:1 und richtig synchronisiert? Was, wenn er sich wegen ein paar fehlenden Bytes doch nicht öffnen lässt? Ich share nichts. Die Sharing-Funktion benötige ich nicht. Und Sync-over-LAN macht nur Sinn, wenn die Daten vorher in der Cloud sind. Ich will meine Daten in der Cloud. Eine Synchronisation ist sinnfrei, wenn mir hier das Haus abbrennt und sämtliche Daten waren nur lokal vorhanden oder jemand klaut den PC und das Laptop.
@Schlaflos Die Argumentation ist recht schwach. Dass da eben nicht „ein paar Bytes fehlen“ darum kümmert sich TCP/IP. Wenn hier ein Fehler passiert, kann er auch bei normalen Files passieren. Der Unterschied liegt nur darin ob ein raw diff erstellt werden kann oder nicht und Dropbox kann’s halt. Das hat nichts mit koscher oder Hexenwerk zu tun.
Die Gefahr, dass im Filesystem vom Anbieter ein Fehler passiert, und der TC Container sich deshalb nicht mehr öffnen lässt, ist bei allen Anbietern – und auch bei dir zuhause auf der Platte – gleich Groß.
Da lobe ich mir die History Funktion von Dropbox.
Ja, wollte auch erwähnen dass dieser Trick mit Google Mail nicht klappt. 🙂 Aber danke für die Info!
@masi Du hast Recht! Und ich habe (mittlerweile) 217 GB Speicher kostenlos. Viel Spaß weiterhin mit Dropbox. Toller Service übrigens, aber die paar GB Gratis-Speicher sind mir zu wenig.
@schlaflos: was bringen mir x-hundert Gigabytes, wenn ein einfacher Delta-Sync nicht funktioniert, den rsync genauso wie Dropbox ohne Probleme hinbekommt. Das ist keine Hexerei. Und mit mehr Speicher hat man schon immer geworben. Was bringen mir da auch 500GB bei einem anderen Anbieter wenn ich die
* Erstmal hochladen muss (217GB? Viel Spaß)
* Jedes Mal auch vollständig aktualisieren muss (gerade bei großen Dateien sehr lästig)
* Ich keine Versionshistorie habe um auch mal Mißstände korrigieren zu können
Ich habe copy damals auch schon direkt als beta erhalten und seitdem liegt der Account brach, weil er keinen nennswerten Vorteil gegenüber Dropbox hat. Außer Speicherplatz. Und den bekommt man auch bei Box oder anderen Anbietern hinterhergeworfen.
@Jens Ich interessiere mich nicht für DeltaSync, weil ich die Daten auch unterwegs oder am Arbeitsplatz zur Verfügung haben möchte. Und zwar in Klartext – nicht in einem TrueCrypt-Container. Ich brauche z.B. den Scan des Kfz-Scheines jetzt! Und nicht später, wenn ich zu Hause bin.
Keine Frage: COPY ist noch verbesserungswürdig, aber sie sind auch erst am Anfang. Mal sehen, was ihnen noch einfällt. Das Wichtigste aus meiner Sicht ist jedoch: Platz! Satt! Kostenlos! Der Rest ergibt sich dann von selbst.
Wäre dankbar, wenn auch jemand meinen Link nutzt 🙂
https://copy.com?r=Y0gCrC