Dropbox hat jetzt eingeräumt, dass Unbekannten 68 Millionen Passwörter seiner Kunden in die Hände gefallen sind. Wie Patrick Heim, Head of Trust & Security bei Dropbox, erklärte, handelt es sich um eine Liste mit Benutzernamen und Passwörter die offensichtlich von Mitte 2012 stammt. Bislang gebe es keine Anzeichen für unberechtigte Zugriffe auf Nutzer-Konten. “Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung “hashed and salted” unbrauchbar sind”, so Heim. Log-in-Daten von betroffenen Nutzern habe man jedoch sicherheitshalber zurückgesetzt.
“Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen”, so Heim. Anfang der Woche forderte Dropbox Nutzer noch rein “vorsorglich” zu einem Passwortwechsel auf, falls der Zugangscode seit Mitte 2012 unverändert sei. Es bestehe sonst ein unnötiges Sicherheitsrisiko.
Das Unternehmen betonte da noch, es habe weder einen konkreten Vorfall gegeben noch liege ein Verdacht auf Missbrauch vor. Es handle sich lediglich um einen pragmatischen Hinweis, da man bei “Routinemaßnahmen” auf einen im Internet kursierenden Datensatz aus dem Jahr 2012 gestoßen sei.
Sicherheitsforscher Troy Hunt hat den Einbruch in die Dropbox-Systeme anhand eigener Daten überprüft. Auch ihm zufolge sind Nutzterkonten gefährdet, deren Passwort zuletzt Mitte 2012 geändert wurde.
Dropbox fordert nun Nutzer mit Zugangsdaten, die älter sind, beim nächsten Log-in zu einer Aktualisierung auf. Zugleich weist es auf seine Zwei-Faktor-Authentifizierung hin. Es unterstützt dazu seit August 2015 auch USB-Sicherheitskeys, die nach Universal 2nd Factor, kurz U2F, einem Standard der FIDO Alliance arbeiten. Sie werden unter anderem von Yubico angeboten. Der Schlüssel lässt sich weder abfangen noch kopieren und anders als bei SMS- und App-Codes ist auch keine Eingabe durch den Nutzer erforderlich.
[mit Material von Anja Schmoll-Trautmann, ZDNet.de]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Um ihre Verteidigung zu stärken, müssen Staaten und Unternehmen sicherstellen, dass KRITIS-Betreiber nicht nur die…
Reichen die Sicherheitsvorkehrungen der KRITIS-Betreiber bereits aus? Das BSI liefert dazu Kennzahlen auf einer neuen…
Laut Kaspersky ist Schadsoftware die zweithäufigste Bedrohung. Angriffe auf vernetzte Fahrzeuge folgen erst mit Abstand.
Der deutsche Chipproduzent beliefert Xiaomi mit Siliziumkarbid-Leistungsmodulen (SiC), Mikrocontrollern und Gate-Treibern.
Fraunhofer-Forschende arbeiten an einer Webplattform, die die Lebensqualität von Menschen mit Parkinson verbessern soll.
Mit gemeinsamen Angeboten in den Bereichen Vermarktung, KI, Content und Cloud will man "unabhängigen Journalismus…