Dropbox 認証バイパス事件 続報

Dropboxのシステムのバグで認証がバイパスされていた問題について、TechCrunchで続報が報じられています。この続報の根拠は被害者宛にDropboxから送信されたメールです。

そのメールによれば、被害を受けたユーザーは100人未満だったとのこと。そして、少なくともファイルの改変は行われていないようだ、とのことです。これはそれほど規模が拡大しなかったという意味ではいい内容です（と言ってもその100人の中の1人であれば大問題なわけですが...）。

一方の悪いニュースは、被害者全員のアカウントにアクセスしていた1人のユーザーがいる、ということです。つまり、タイプミスなどでうっかり他人のアカウントにアクセスしたわけではなく、このバグを利用して意図的に他人のアカウントにアクセスしていたユーザーが存在した、ということです。

被害者宛のメールでは、被害者が取る必要のある対策の概要が記載されています。また、DropboxのCEOであるDrew Houstonの電話番号が載せられており、質問などがあれば遠慮なく電話して欲しいとも書かれています。この問題に対してDropboxが危機感を持っている表れとも言えるかもしれません。

ただ....やはりこの情報もTechCrunchという外部の情報源からとなってしまいました。Dropbox Blogにも被害者の人数が100人未満だったことなどは追記として記載されていますが、あくまでもそれだけ。おそらくDropboxとしては、直接の被害者以外には細かい情報提供は行わないという方向性で進めているように見えますが、これが吉と出るか凶と出るか。