Dropbox 2-Faktor-Authentifizierung kann leicht ausgehebelt werden

5. Juli 2013 Kategorie: Backup & Security, Internet, geschrieben von: Sascha Ostermaier

Vor rund 10 Monaten wurde bei Dropbox die 2-Faktor-Authentifizierung eingeführt. Wie nun heraus kam, lässt sich diese mit einem relativ einfachen Trick umgehen, falls man die Logindaten (Username + Passwort) zur Verfügung hat.

Dropbox
Der Trick liegt in der verwendeten Email-Adresse und den Notfallcodes, die man sich schicken lassen kann. Ist der betroffene Nutzer zum Beispiel mit [email protected] registriert, kann man sich eine neue Emailadresse machen, die einen Punkt enthält, also [email protected] Dropbox registriert den Punkt bei der Emailadresse nicht und aktiviert die 2-Faktor-Authentifizierung. Gibt man nun an, dass man sein Handy verloren hat, erhält man einen Notfallcode und hat vollen Zugriff auf den Account.


Natürlich muss man erst einmal Nutzername und Passwort des Nutzers haben, in dessen Account man eindringen will (wobei sich mir die Frage stellt, ob man so nicht auch die Lost Password Funktion nutzen könnte), hat man diese aber, ist es leicht, die vermeintlich sicherere 2-Faktor-Authentifizierung zu umgehen. Dropbox scheint bereits an einem Fix zu arbeiten, was wiederum auch nicht allzu schwer sein dürfte, da man ja nur eine exakte Abfrage der Emailadresse vornehmen müsste.

Neueste Beiträge im Blog

Quelle: Slash Gear |
Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Sascha Ostermaier

Freund von allem was mit Technik zu tun hat und waschechter Appaholiker. Android oder iOS? Egal, Hauptsache es funktioniert. Außerdem zu finden bei Twitter und Google+.

Sascha hat bereits 2486 Artikel geschrieben.


27 Kommentare

Schlaflos (@n8schicht) 5. Juli 2013 um 20:34 Uhr

Dropbox? 2 GB Daten kostenlos? Nutzt das noch jemand? Leute, es gibt COPY. Von Barracuda Networks. 20 GB gratis mit diesem Link https://copy.com?r=A2IFxU Apps für Windows, Linux, iOS und Android kostenlos.

PsychoHH 5. Juli 2013 um 20:39 Uhr

Da ich bei Dropbox meine gmail Adresse nutze, dürfte dieser “Trick” ja nicht für andere funktionieren richtig? Da ja niemand meine Addy mit einem Punkt registrieren kann.

Sascha Ostermaier 5. Juli 2013 um 20:40 Uhr

@PsychoHH: Richtig.

slauber 5. Juli 2013 um 20:59 Uhr

@Schlaflos: Studenten nutzen Dropbox, weil sie über verschiedene Aktionen etliche GB Freivolumen bekommen haben, ich habe mehr als 40GB so zusammengesammelt.

Hans Peter 5. Juli 2013 um 21:07 Uhr

Apropos Dropbox – Ich würde mich über etwas Extra Speicher freuen: http://db.tt/aZJ9nCfs
:-)

Dex 5. Juli 2013 um 21:34 Uhr

Ich würde mich über sehr freuen, wenn ihr euch über meinen Link registriert:

https://copy.com?r=aeFLPW

Sonja 5. Juli 2013 um 23:02 Uhr

Man kann sich Notfallcodes zuschicken lassen? Das wäre ja schön. Leider komme ich seit einigen Monaten nicht mehr in meinen Dropbox-Account, da ich meinen sogenannten “16-stelligen einmaligen Zugangscode” damals nicht notiert habe. Kann mir da jemand helfen?

masiasi 5. Juli 2013 um 23:17 Uhr

@Schlaflos

Geil! Jetzt hast du eine Festplatte in der Cloud. Und wie teilst du Dinge mit anderen, wenn NIEMAND diesen Dienst nutzt? Dropbox lebt von der Masse an Usern.

Dirk 5. Juli 2013 um 23:21 Uhr

@Schlaflos auf der copy.com homepage kann ich nicht alle informationen erhalten. vielleicht kannst du mitteilen ob folgende dropbox-punkte bei copy.com auch funktionieren
1. eine 10GB-datei wird um 50byte verändert. werden dann 10Gb oder 50byte hochgeladen ?
2. bereits hochgeladene 100GB werden gelöscht sind aber ohne volumenberechnung über packrat für 39$ jährlich jederzeit wiederherstellbar. umsonst wären es 30tage
3. handelt es sich bei den preisangaben um echte endbeträge oder plus mehrwertsteuer ? Beispiel: dropbox echter endbetrag gegenüber gdrive beträge plus mehrwertsteuer
4. versionierung der gespeicherten daten
5. geschwindigkeit. dropbox real 5 bis 6 mbit upload bei 10mbit vdsl-upload max
6. lan-internes kopieren geht bei dropbox nur dann wenn die daten bereits einmal hochgeladen wurden. gaht lan-internes kopieren bei copy-com bereits ohne das vorherige hochladen zum copy-server ? also so wie bei cubby ?

Dirk 5. Juli 2013 um 23:24 Uhr

@Schlaflos Nachtrag
7. wenn daten einmal zu dropbox hochgeladen sind sie beim nächsten upload der gleichen daten in wenigen sekunden dort sichtbar weil sie auf dropbox gespeichert bleiben. auch wenn ein anderer die gleiche datei uploaded.

kuhfladen 5. Juli 2013 um 23:36 Uhr

funktioniert copy.com auch in verbindung mit truecrypt containern?

Johann 5. Juli 2013 um 23:47 Uhr

@Sonja, das Gleiche ist mir leider auch passiert. Ich hatte die 2-Faktor-Authentifizierung aktiviert und blöderweise mein Smartphone zurückgesetzt. Zu der Zeit hatte ich keine Möglichkeit mehr mich Online einzuloggen.
Glücklicherweise hatte ich aber noch auf einem Rechner Dropbox fest installiert. Denn 3 Wochen nachdem ich mich “ausgesperrt” hatte, wurde die Desktop-Version aktualisiert, sodass man mit einem Klick auf das Dropbox-Icon und danach auf “Dropbox.com” ohne Logindaten in seinen Online-Account gelangt.
Aber ich vermute du hast keine installierte Dropbox-Version?!

Matze B. 6. Juli 2013 um 08:07 Uhr

@Schlaflos: Copy ist in der Tat gaz nett, aber wie Du auf soviel GB gekommen bist, ist mir ein Rätsel. Als es rauskam, habe ich mich auch registriert und die Werbetrommel für Referrallinks gerührt. Brachte gar nichts, weil die meisten mit Dropbox, GDrive und Co. zufrieden sind. Und im Preismodell von Copy klappt zwischen “Free” und “250GB” leider eine riesige Lücke :-(

Schlaflos (@n8schicht) 6. Juli 2013 um 08:51 Uhr

Möchte mich herzlich bedanken. Bin über Nacht um 40 GB “reicher” geworden. Durch Leute, die offenbar mein Posting hier gelesen haben.

@Matze B. Es war ein Versuch, ich habe seit ca. 4 Wochen in verschiedenen Foren die Links hinterlassen. Durchschnittlich 4x 5 GB pro Woche sind möglich. Bin jetzt bei 207 GB.

Und sonst: nein, TrueCrypt-Container hochladen, was verändern und nur die Veränderung wird synchronisiert geht nicht. Geht auch nur bei Dropbox, und so ganz koscher kommt mir das nicht vor. Ist der Container danach wirklich 1:1 und richtig synchronisiert? Was, wenn er sich wegen ein paar fehlenden Bytes doch nicht öffnen lässt? Ich share nichts. Die Sharing-Funktion benötige ich nicht. Und Sync-over-LAN macht nur Sinn, wenn die Daten vorher in der Cloud sind. Ich will meine Daten in der Cloud. Eine Synchronisation ist sinnfrei, wenn mir hier das Haus abbrennt und sämtliche Daten waren nur lokal vorhanden oder jemand klaut den PC und das Laptop.

masi 6. Juli 2013 um 10:13 Uhr

@Schlaflos Die Argumentation ist recht schwach. Dass da eben nicht “ein paar Bytes fehlen” darum kümmert sich TCP/IP. Wenn hier ein Fehler passiert, kann er auch bei normalen Files passieren. Der Unterschied liegt nur darin ob ein raw diff erstellt werden kann oder nicht und Dropbox kann’s halt. Das hat nichts mit koscher oder Hexenwerk zu tun.
Die Gefahr, dass im Filesystem vom Anbieter ein Fehler passiert, und der TC Container sich deshalb nicht mehr öffnen lässt, ist bei allen Anbietern – und auch bei dir zuhause auf der Platte – gleich Groß.
Da lobe ich mir die History Funktion von Dropbox.

Saschaa 6. Juli 2013 um 11:12 Uhr

Ja, wollte auch erwähnen dass dieser Trick mit Google Mail nicht klappt. :-) Aber danke für die Info!

Schlaflos (@n8schicht) 6. Juli 2013 um 12:46 Uhr

@masi Du hast Recht! Und ich habe (mittlerweile) 217 GB Speicher kostenlos. Viel Spaß weiterhin mit Dropbox. Toller Service übrigens, aber die paar GB Gratis-Speicher sind mir zu wenig.

Jens 6. Juli 2013 um 14:06 Uhr

@schlaflos: was bringen mir x-hundert Gigabytes, wenn ein einfacher Delta-Sync nicht funktioniert, den rsync genauso wie Dropbox ohne Probleme hinbekommt. Das ist keine Hexerei. Und mit mehr Speicher hat man schon immer geworben. Was bringen mir da auch 500GB bei einem anderen Anbieter wenn ich die

* Erstmal hochladen muss (217GB? Viel Spaß)
* Jedes Mal auch vollständig aktualisieren muss (gerade bei großen Dateien sehr lästig)
* Ich keine Versionshistorie habe um auch mal Mißstände korrigieren zu können

Ich habe copy damals auch schon direkt als beta erhalten und seitdem liegt der Account brach, weil er keinen nennswerten Vorteil gegenüber Dropbox hat. Außer Speicherplatz. Und den bekommt man auch bei Box oder anderen Anbietern hinterhergeworfen.

Schlaflos (@n8schicht) 6. Juli 2013 um 14:31 Uhr

@Jens Ich interessiere mich nicht für DeltaSync, weil ich die Daten auch unterwegs oder am Arbeitsplatz zur Verfügung haben möchte. Und zwar in Klartext – nicht in einem TrueCrypt-Container. Ich brauche z.B. den Scan des Kfz-Scheines jetzt! Und nicht später, wenn ich zu Hause bin.

Keine Frage: COPY ist noch verbesserungswürdig, aber sie sind auch erst am Anfang. Mal sehen, was ihnen noch einfällt. Das Wichtigste aus meiner Sicht ist jedoch: Platz! Satt! Kostenlos! Der Rest ergibt sich dann von selbst.

georg ha 6. Juli 2013 um 15:14 Uhr

Wäre dankbar, wenn auch jemand meinen Link nutzt :)
https://copy.com?r=Y0gCrC

Dex 6. Juli 2013 um 16:10 Uhr

@georg ha: danke für das verwenden meines links ;)

Jens 6. Juli 2013 um 17:09 Uhr

@Schlaflos: Und genau da beißt sich für mich deine Argumentation in den metaphorischen Hintern. Wenn ich Platz satt haben will, will ich auch Delta syncen, weil ich eben genau jetzt die Daten brauche und keinen Bock habe, Stunden zu warten je nachdem welche Verbindung ich an welchem Endgerät gerade habe, um jeden Mist nochmal vollständig runterzuladen, nur weil er sich geändert hat. Da ist mir Platz satt sowas von egal (zumal ich den erstmal füllen muss – ist mir immer noch schleierhaft, wie man 200GB+ anständig füllen will und dann noch Zeit und Lust hat, den Kram jedes Mal auf einem Endgerät runterzuladen). Das hat gar nichts mit irgendwelchen Containern zu tun. Wenn ich ein Photoshop File habe – und als Freelancer gerade im Web hat man eben bei Projekten auch mal mit sowas zu tun – und der Kollege macht da Änderungen, hab ich keine Zeit und Lust mobil mal eben nochmal 500MB runterzuladen, wenn das PS File sich gerade um 5MB geändert hat. Einfach weil es lange dauert und ggf. eben auch unterwegs gehen muss, wo man vielleicht nur via Mobil-Datenverbindung online ist.

Das ist (mein) Einsatz in der Praxis. Und da sind mir selbst 500GB egal. Wenn ich ne Stunde warten muss, weil sich das File geändert hat und alles nochmal runtergeladen werden muss anstatt nur der paar Blöcke die sich geändert haben, dann ist das einfach nur unpraktisch, kostet im dümmsten Fall Geld oder Zeit (Mobilverbindung) und Nerven. Und genau deshalb ist Größe nicht alles ;)

Schlaflos (@n8schicht) 6. Juli 2013 um 18:17 Uhr

@Jens Ist doch okay. Wir haben eben ein völlig anderes Anwendungsszenario. Ich share nichts. Ich habe ein paar große Dateien, aber die will ich lediglich via COPY archivieren für den Fall der Fälle (Backup). Da verändert sich bei mir nicht viel, aber online von einem Rechner ohne COPY (mit Browser) kann ich notfalls auf meine Daten zurückgreifen.

Was ich früher mit einem NAS gemacht habe, mache ich nun mit COPY.

Klar lassen sich 200 GB nicht so einfach befüllen. Aber ich habe Zeit. Jeden Tag ein paar GB… das läppert sich.

Georg S. 6. Juli 2013 um 19:20 Uhr

Schön das ich bei Dropbox eine Mail Adresse mit meiner eigenen Domain als Endung verwende da muss erst noch mein Webspace Konto gehackt werden das funktioniert.

Lucien 6. Juli 2013 um 19:33 Uhr

Hmm ich bleib bei Dropbox,alles bestens für mich und überwiegend alle
anderen User auch,und diese GB Hascherei brauch ich nicht wirklich,
wers braucht ist ja ok,aber viele machens nur aus dem “Umso mehr
desto besser Prinzip.”ohne die vielen GB’S wirklich zu brauchen.Hab
bei Dropbox aktuell 50GB,(Dropbox+Samsung S3 Aktion)glaube für
2 Jahre war das,die ich wohl nie ganz nutzen werd,wohl eher nur ein
bruchteil davon,da ich nix share und das auch soweit nicht vorhab,
nutze Dropbox fürs hin/und/her schieben von Dateien,Bilder,Mp3 usw
zwischen meinem Win7 32 Bit Ultimate und meinem Samsung S3.

Soweit damit sehr zufrieden.Hoffe nur das Dropbox auch sicher ist,da
ja US Server usw,hoffe die stecken da nicht auch die Nase in die
User Dateien,weiss leider nicht wie das mit Truecrypt und der Dropbox
geht,scheint mir ziemlich umständlich,gibts da nicht ne einfachere
Lösung zum Thema Dropbox und Daten verschlüsseln.?

Dex 7. Juli 2013 um 14:27 Uhr

@Lucien: Das ist nicht kompliziert und wurde bereits mehrfach hier im Blog ausführlich beschrieben. Auch viele Alternativen zur Verschlüssung hat Caschy bereits aufgezeigt. EInfach mal die Suchfunktion benutzten ;-)


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.