Drop­box: Mil­lio­nen Pass­wör­ter schon 2012 von Nut­zern gestoh­len

​Drop­box hat ein­ge­räumt, schon 2012 gehackt wor­den zu sein. Dabei wur­den über 68 Mil­lio­nen Pass­wör­ter von Nut­zern ent­wen­det.

Drop­box hat bestä­tigt, bereits 2012 Opfer eines mas­si­ven Daten­hacks gewor­den zu sein, bei dem über 68 Milio­nen Pass­wör­ter von Kun­den gestoh­len wur­den. Für den Cloud-Spei­cher­dienst stellt das Ein­ge­ständ­niss den PR-Super­gau dar, schließ­lich füh­ren Kri­ti­ker oft man­geln­de Sicher­heit als Argu­ment gegen sol­che Cloud­spei­cher-Dienst­lei­ster ins Feld. Auch aus die­sem Grund bemüht man sich bei Drop­box vor allem um Scha­dens­be­gren­zung und ver­sucht, die eige­nen Kun­den zu beru­hi­gen. Bis­her gebe es kei­ne Anzei­chen für unbe­rech­tig­te Zugrif­fe, ließ das Unter­neh­men in der Nacht zum Don­ners­tag ver­lau­ten. Der Dienst­lei­ster betont, dass die gestoh­le­nen Pass­wör­ter nur ver­schlüs­selt abge­grif­fen wur­den. Bei der Ver­schlüs­se­lung sei­en sowohl Hash- als auch Salt-Ver­fah­ren zum Ein­satz gekom­men.

Zudem habe man die Pass­wör­ter von Kun­den, die die­ses seit 2012 nicht mehr geän­dert hat­ten, zurück­ge­setzt. Aller­dings gebrau­chen vie­le Inter­net­nut­zer ähn­li­che oder gar glei­che Pass­wör­ter für unter­schied­li­che Dien­ste. Kri­mi­nel­le könn­ten so von den Drop­box-Pass­wör­tern auf ande­re Log­in-Daten schlie­ßen, wenn die­se das­sel­be Pass­wort wie Drop­box nut­zen.

Drop­box: »Anmel­de­da­ten sind dank Ver­schlüs­se­lung unbrauch­bar«

In einer aktu­el­len Stel­lung­nah­me betont Patrick Reim, Head of Trust and Secu­ri­ty bei Drop­box, dass die erbeu­te­ten Pass­wör­ter so ver­schlüs­selt sind, dass sie für die Angrei­fer nicht nutz­bar sind.

»Dies ist kein neu­er Sicher­heits­vor­fall und wir haben kei­nen Grund zur Annah­me, dass sich Drit­te unrecht­mä­ßig Zugang zu Drop­box-Accounts ver­schafft haben. Unse­re Ana­ly­se bestä­tigt, dass es sich bei den Anmel­de­da­ten um E-Mail-Adres­sen von Drop­box-Nut­zern und Pass­wör­ter han­delt, die dank der kom­ple­xen Pass­wort­ver­schlüs­se­lung “hash­ed and sal­ted” unbrauch­bar sind.

Es sind aus­schließ­lich Nut­zer betrof­fen, die sich vor Mit­te 2012 bei Drop­box ange­mel­det haben und seit­dem ihr Pass­wort nicht geän­dert haben. Drop­box hat in der ver­gan­ge­nen Woche als rei­ne Vor­sichts­maß­nah­me die­se betrof­fe­nen Nut­zer auf­ge­for­dert, ihre Pass­wör­ter zu ändern. Drop­box bestä­tigt, dass das Zurück­set­zen der Pass­wör­ter ver­gan­ge­ne Woche abge­schlos­sen wur­de und die Gesamt­heit aller betrof­fe­nen Nut­zer abdeckt.

Obwohl die Drop­box-Kon­ten geschützt sind, soll­ten betrof­fe­ne Nut­zer, die mög­li­cher­wei­se ein iden­ti­sches Pass­wort auch bei ande­ren Ser­vices nut­zen, Vor­sichts­maß­nah­men ergrei­fen. Idea­ler­wei­se soll­ten die­se Pass­wör­ter aktua­li­siert wer­den und Zwei-Fak­tor-Authen­ti­fi­zie­rung akti­viert wer­den. Zudem soll­ten Nut­zer, die eine Benach­rich­ti­gung von Drop­box erhal­ten haben, wach­sam vor Spam oder Phis­hing sein.«