オンラインストレージサービスDropboxは月曜日、2500万人のユーザーに対し、4時間にわたりパスワード認証を誤って無効化した。同社によると、この時間帯にアクセスされたアカウントは「1%をはるかに下回る」ものだった。同社は、これらのアカウントへの不正アクセスの有無について現在も調査中だ。
DropboxのCTO、アラシュ・フェルドウシ氏は、同社が太平洋標準時午後1時54分にコード変更を実施し、認証メカニズムに問題が発生したと述べている。約4時間後、この問題が発覚し、Dropboxは当時ログインしていたユーザーのセッションをすべて切断した。フェルドウシ氏によると、切断されたのはユーザーの1%を「はるかに下回る」数だったという。
同氏によれば、修正は太平洋標準時午後5時46分に導入されたという。
「アカウントへの不正アクセスの有無を把握するため、関連活動を徹底的に調査しています」とフェルドウスィ氏は述べた。「このようなことは決してあってはならないことでした。私たちは管理体制を精査しており、再発防止のための追加的な安全対策を実施します。」
同社はその後、エラー発生時にログインしていたすべてのユーザーに通知し、アカウントのアクティビティの詳細を確認するよう要請したと発表しました。関係者はDropboxの[email protected]まで問い合わせることもできます。
この問題は一部のユーザーによって指摘されており、インディアナ大学の博士課程の学生でセキュリティ研究者のクリストファー・ソゴイアン氏は、匿名の情報源から得た情報をウェブサイト「Pastebin」に投稿した。
5月、ソゴイアン氏はFTCに苦情書を提出し、Dropboxが提供する暗号化セキュリティのレベルについて消費者を欺いていると主張した。Dropboxは、この苦情には根拠がないと述べた。
Dropboxユーザーの中には月曜日の認証問題に憤慨した人もいたが、それを無視した人もいた。
「Dropboxの顧客全員に、今すぐこの件に関するメールが届くべきです。他の情報源や、一見落ち着いた雰囲気のブログ記事で聞くべきではありません」と、トニー・ウェブスターと名乗るユーザーは投稿した。「Dropboxは、発生から24時間経ってもツイートしていません。誰でもアクセスできる4時間の間に、私のDropboxアカウントで行われたすべての操作を開示してもらいたいですし、その情報を今すぐに必要としています。」
しかし、匿名の投稿者がこう書き込んできました。「Dropboxアカウントに、一体どんな素晴らしいがんやエイズ治療の研究データを保存しているんですか? 間違いは起こるものですし、彼らはそれを修正しました。少なくとも、そのことを伝えてくれました。他にこんなことをする企業がどれだけあるでしょうか?」
