La empresa de almacenamiento Dropbox se vio afectada por un fallo de seguridad que hizo que se pudiese acceder a todas las cuentas con cualquier contraseña. De este modo, durante unas cuatro horas sólo hacía falta conocer el correo electrónico asociado a una cuenta para poder acceder al contenido almacenado en la misma.

El problema ocurrió al realizar una actualización de código que introdujo un bug que afectó al sistema de autentificación de usuarios. Esto ocurrió a las 22:54, hora española. El fallo no fue descubierto hasta casi cuatro horas más tarde y fue corregido cinco minutos después. Según explica la compañía en su blog, menos de un 1% de los usuarios iniciaron sesión en ese período de tiempo, pero no saben si alguien se aprovechó de este error.


Por el momento, están llevando a cabo «una concienzuda investigación» para descubrir si se accedió a alguna cuenta de forma fraudulenta. «Si identificamos algún caso de actividad inusual, notificaremos inmediatamente al dueño de la cuenta», aseguran desde Dropbox.

Además, por precaución, avisarán del fallo a todos los usuarios que iniciaron sesión durante ese período de tiempo «a lo largo de las próximas horas». «Esto nunca debería haber pasado. Estamos inspeccionando nuestros controles y vamos a implementar medidas preventivas adicionales para evitar que esto vuelva a ocurrir», explican.

Según TechCrunch, el fallo fue publicado en Pastebin por Christopher Soghoian, un informático estadounidense especializado en la privacidad online. Sin embargo, no fue él quien lo descubrió, sino un usuario del servicio que se lo comunicó tanto a él como a la compañía.

Fuente