Dropbox bestätigt: Hacker haben 68 Millionen Passwörter entwendet

Peter Marwan,
Dropbox (Bild: Dropbox)

Betroffen sind Nutzer, die ihr Passwort bei Dropbox das letzte Mal vor Mitte 2012 geändert haben. Anfang der Woche forderte Dropbox Nutzer auf, ihr Passwort “vorsorglich” zu ändern. Jetzt klingt das anders: Das Unternehmen hat Log-in-Daten von Nutzern sicherheitshalber zurückgesetzt.

Dropbox hat jetzt eingeräumt, dass Unbekannten 68 Millionen Passwörter seiner Kunden in die Hände gefallen sind. Wie Patrick Heim, Head of Trust & Security bei Dropbox, erklärte, handelt es sich um eine Liste mit Benutzernamen und Passwörter die offensichtlich von Mitte 2012 stammt. Bislang gebe es keine Anzeichen für unberechtigte Zugriffe auf Nutzer-Konten. “Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung “hashed and salted” unbrauchbar sind”, so Heim. Log-in-Daten von betroffenen Nutzern habe man jedoch sicherheitshalber zurückgesetzt.

“Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen”, so Heim. Anfang der Woche forderte Dropbox Nutzer noch rein “vorsorglich” zu einem Passwortwechsel auf, falls der Zugangscode seit Mitte 2012 unverändert sei. Es bestehe sonst ein unnötiges Sicherheitsrisiko.

Passwort (Bild: James Martin / CNET)

Das Unternehmen betonte da noch, es habe weder einen konkreten Vorfall gegeben noch liege ein Verdacht auf Missbrauch vor. Es handle sich lediglich um einen pragmatischen Hinweis, da man bei “Routinemaßnahmen” auf einen im Internet kursierenden Datensatz aus dem Jahr 2012 gestoßen sei.

Sicherheitsforscher Troy Hunt hat den Einbruch in die Dropbox-Systeme anhand eigener Daten überprüft. Auch ihm zufolge sind Nutzterkonten gefährdet, deren Passwort zuletzt Mitte 2012 geändert wurde.

Dropbox fordert nun Nutzer mit Zugangsdaten, die älter sind, beim nächsten Log-in zu einer Aktualisierung auf. Zugleich weist es auf seine Zwei-Faktor-Authentifizierung hin. Es unterstützt dazu seit August 2015 auch USB-Sicherheitskeys, die nach Universal 2nd Factor, kurz U2F, einem Standard der FIDO Alliance arbeiten. Sie werden unter anderem von Yubico angeboten. Der Schlüssel lässt sich weder abfangen noch kopieren und anders als bei SMS- und App-Codes ist auch keine Eingabe durch den Nutzer erforderlich.

[mit Material von Anja Schmoll-Trautmann, ZDNet.de]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.