Dropbox: 68 Millionen Passwörter gestohlen

Noch Anfang der Woche forderte Dropbox seine Nutzer rein „vorsorglich“ zu einem Passwortwechsel auf, sollte ihr Zugangscode seit mindestens Mitte 2012 unverändert sein, da andernfalls ein unnötiges Sicherheitsrisiko bestehe.

Das Cloud-Storage-Unternehmen betonte dabei, es habe keinen konkreten Vorfall gegeben und es liege kein Verdacht auf Missbrauch vor. Es handle sich nur um einen pragmatischen Hinweis. Im Rahmen von Routinemaßnahmen sei man aber auf einen kursierenden Datensatz aus dem Jahr 2012 gestoßen.

Wie Dropbox jetzt aber bestätigt hat, haben Hacker tatsächlich 68 Millionen Passwörter von Kunden gestohlen. Laut Patrick Heim, Head of Trust & Security bei Dropbox, stammen die Benutzernamen und Passwörter offensichtlich von Mitte 2012. Wie das Unternehmen aber auch erklärte, gebe es bislang aber keine Anzeichen für unberechtigte Zugriffe auf Nutzer-Konten. Das Unternehmen habe Login-Daten von betroffenen Nutzern sicherheitshalber zurückgesetzt, so Heim.

„Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen“, erklärt Heim.

Auf den Diebstahl der Dropbox-Passwörter hatte diese Woche die Website Motherboard hingewiesen. Dort war von einer im Netz gehandelten Datenbank mit rund 68,7 Millionen Kombinationen aus E-Mail-Adressen und verschleierten Passwörtern die Rede.

Sicherheitsforscher Troy Hunt hatte den Einbruch in das System des Online-Speicherdienstes mithilfe eigener Daten überprüft hat. Auch er kam zu dem Ergebnis, dass Accounts betroffen sind, deren Passwort letztmalig vor Mitte 2012 geändert wurde.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Nutzer mit älteren Zugangsdaten werden aber sicherheitshalber beim nächsten Log-in zu einer Aktualisierung aufgefordert. Zugleich wirbt Dropbox für seine Zwei-Faktor-Authentifizierung. Seit August 2015 unterstützt es in diesem Bereich auch USB-Sicherheitskeys nach der Spezifikation Universal 2nd Factor, kurz U2F – einen Standard der FIDO Alliance. Bekanntester Anbieter solcher Sticks ist Yubico. Anders als SMS- und App-Codes muss nichts eingetippt werden, und der Schlüssel lässt sich weder abfangen noch kopieren.

Über „Have I been pwned“ können Nutzer überprüfen, ob und in welchem Zusammenhang ihre Mail-Adresse und das entsprechende Passwort bereits aufgetaucht ist.

Eine schwerwiegende Sicherheitslücke gab es 2013. Damals führte versehentlich eingespielter Code dazu, dass sich jeder in jedes Dropbox-Konto einloggen konnte, ohne Zugangsdaten zu benötigen. Die Lücke wurde nach einigen Stunden gestopft.

Im gleichen Jahr trat eine Sicherheitslücke unter Android auf. Sie steckte in Dropbox‘ Software Development Kits. Unter bestimmten Umständen konnten Angreifer sie ausnutzen, um Daten abzugreifen, die von Android-Nutzern über Drittanbieter-Apps neu auf Dropbox hochgeladen wurden. Entdeckt wurde der Fehler von IBM-Mitarbeitern.

[mit Material von Laura Hatala, CNET.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Sie arbeitet mit Windows in allen Varianten, OS X, iOS und Android.

Recent Posts

Durchgesickerte Daten: Twitch dementiert Verlust von Passwörtern

Die Angreifer haben offenbar keinen Zugriff auf die Systeme zur Speicherung von Anmeldedaten. Laut Twitch…

16 Stunden ago

Botnet MyKings nimmt mit Kryptomining fast 25 Millionen Dollar ein

Avast findet die Malware seit Anfang 2020 auf 144.000 Computern. MyKings nutzt die Rechenleistung von…

17 Stunden ago

So wehren Formel-1-Teams Cyberangriffe ab

Die Formel 1 ist ein hochkarätiger Hightech-Sport, der die Aufmerksamkeit von Cyber-Kriminellen und Hackern auf…

22 Stunden ago

Ransomware macht 5,2 Milliarden Dollar an Bitcoin-Transaktionen aus

Das US-Finanzministerium meldet, dass 5,2 Milliarden Dollar an Bitcoin-Transaktionen (BTC) im Zusammenhang mit den 10…

22 Stunden ago

GandCrab ist häufigste Ransomware

Die GandCrab Ransomware war 2020 die am häufigsten eingesetzte Erpresser-Software, während sich 2021 eher Babuk…

5 Tagen ago

Geld weg statt Liebe: iPhone-Krypto-Betrug eskaliert auch in Europa

1,2 Millionen Euro-Beute in nur einem Wallet entdeckt. Cyberganster nehmen vermehrt europäische und amerikanische Nutzer…

6 Tagen ago