Dropbox: Millionen Passwörter schon 2012 von Nutzern gestohlen

​Dropbox hat eingeräumt, schon 2012 gehackt worden zu sein. Dabei wurden über 68 Millionen Passwörter von Nutzern entwendet.

Dropbox hat bestätigt, bereits 2012 Opfer eines massiven Datenhacks geworden zu sein, bei dem über 68 Milionen Passwörter von Kunden gestohlen wurden. Für den Cloud-Speicherdienst stellt das Eingeständniss den PR-Supergau dar, schließlich führen Kritiker oft mangelnde Sicherheit als Argument gegen solche Cloudspeicher-Dienstleister ins Feld. Auch aus diesem Grund bemüht man sich bei Dropbox vor allem um Schadensbegrenzung und versucht, die eigenen Kunden zu beruhigen. Bisher gebe es keine Anzeichen für unberechtigte Zugriffe, ließ das Unternehmen in der Nacht zum Donnerstag verlauten. Der Dienstleister betont, dass die gestohlenen Passwörter nur verschlüsselt abgegriffen wurden. Bei der Verschlüsselung seien sowohl Hash- als auch Salt-Verfahren zum Einsatz gekommen.

Zudem habe man die Passwörter von Kunden, die dieses seit 2012 nicht mehr geändert hatten, zurückgesetzt. Allerdings gebrauchen viele Internetnutzer ähnliche oder gar gleiche Passwörter für unterschiedliche Dienste. Kriminelle könnten so von den Dropbox-Passwörtern auf andere Login-Daten schließen, wenn diese dasselbe Passwort wie Dropbox nutzen.

Dropbox: »Anmeldedaten sind dank Verschlüsselung unbrauchbar«

In einer aktuellen Stellungnahme betont Patrick Reim, Head of Trust and Security bei Dropbox, dass die erbeuteten Passwörter so verschlüsselt sind, dass sie für die Angreifer nicht nutzbar sind.

»Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur Annahme, dass sich Dritte unrechtmäßig Zugang zu Dropbox-Accounts verschafft haben. Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung „hashed and salted“ unbrauchbar sind.

Es sind ausschließlich Nutzer betroffen, die sich vor Mitte 2012 bei Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben. Dropbox hat in der vergangenen Woche als reine Vorsichtsmaßnahme diese betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.

Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer, die möglicherweise ein identisches Passwort auch bei anderen Services nutzen, Vorsichtsmaßnahmen ergreifen. Idealerweise sollten diese Passwörter aktualisiert werden und Zwei-Faktor-Authentifizierung aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von Dropbox erhalten haben, wachsam vor Spam oder Phishing sein.«