Nutzernamen von Dropbox-Konten aufgetaucht

Martin Schindler,
dropbox-800

7 Millionen Konten wollen Hacker bei dem Online-Speicher-Dienst Droppbox gehackt haben. Der Betreiber dementiert indes den Übergriff.

Angeblich sollen die Zugangsdaten von rund 7 Millionen Dropbox-Konten in die Hände von Hackern gefallen sein. Die unbekannte Hackergruppe hat diese laut dem Branchendienst The Next Web bereits auf auf Pastebin veröffentlicht. Via Reddit versuchen die Hacker “Spenden” zu ergattern, so würden die Hacker weitere Nutzernamen und Passwörter veröffentlichen.

Dropbox hat inzwischen dieser Darstellung widersprochen. Die veröffentlichten Zugangsdaten gehörten nicht zu Dropbox-Konten.

Dropbox-LogoDem Bericht zufolge haben Reddit-Nutzer bestätigt, dass zumindest einige der Login-Daten unmittelbar nach der Veröffentlichung noch funktionierten. Woher die Zugangsdaten stammten, teilten die Hacker nicht mit.

Dropbox hat in einer Stellungnahme einen Hackerangriff auf seine Server dementiert. “Die Nutzernamen und Passwörter wurden unglücklicherweise von anderen Diensten gestohlen und bei Versuchen, sich in Dropbox-Konten einzuloggen, benutzt. Wir hatten schon vorher Angriffe entdeckt und der größte Teil der veröffentlichten Passwörter ist schon seit einiger Zeit abgelaufen. Auch alle anderen Passwörter sind jetzt ungültig.”

Der Cloudanbieter habe gestern zudem die Passwörter einiger Konten zurückgesetzt, heißt es weiter in dem Bericht. Deren Besitzer würden nun bei der nächsten Anmeldung aufgefordert, ein neues Kennwort zu vergeben. Wahrscheinlich seien die Passwörter im Zusammenhang mit der Veröffentlichung der Anmeldedaten auf Pastebin zurückgesetzt worden.

Dropbox hat nach eigenen Angaben weltweit mehr als 220 Millionen Nutzer. Sollten die Hacker tatsächlich 7 Millionen Anmeldedaten erbeutet haben, wären also rund 3 Prozent der Nutzer betroffen.

Der Cloud-Storage-Anbieter kämpft zurzeit auch mit einem Fehler in seiner Synchronisationsanwendung. “Unglücklicherweise wurde einige Ihrer Dateien gelöscht, während die Dropbox-Anwendung geschlossen oder neugestartet wurde, nachdem die Einstellungen für die selektive Synchronisation geändert wurden”, heißt es in einer E-Mail, die Dropbox an seine Nutzer verschickt hat. Betroffene Anwender erhalten ein Jahr lang kostenlos ein Dropbox-Pro-Konto.

Schon 2012 hatte Dropbox festgestellt, dass von einer Drittanbieter-Website entwendete Passwörter benutzt wurden, um sich bei Dropbox-Konten anzumelden. “Dropbox sicher zu machen, steht im Mittelpunkt dessen, was wir tun, und wir haben Maßnahmen ergriffen, um die Sicherheit ihrer Dropbox zu verbessern, selbst wenn ihr Passwort gestohlen wurde”, teilte das Unternehmen zu dem Zeitpunkt mit.

Im Jahr davor hatte Dropbox die Veröffentlichung von Code auf seiner Website eingeräumt, der es jedem erlaubte, sich ohne Zugangsdaten bei beliebigen Dropbox-Konten anzumelden. Um sich vor unberechtigtem Zugriff zu schützen, empfielt der Anbieter die Aktivierung der zweistufigen Überprüfung. Ist diese eingeschaltet, sendet Dropbox einen Sicherheitscode per SMS an die zuvor hinterlegte Nummer. Erst damit hat man Zugriff auf das Konto. Damit man diese nicht jedes Mal machen muss, kann man einzelnen Geräten vertrauen, sodass die Zwei-Faktor-Authentifizierung für diese deaktiviert ist. Außerdem sollten Nutzer die Liste der mit dem Dropbox-Konto verbundenen Geräte und Apps überprüfen und die Berechtigung gegebenenfalls entziehen.

"Dropbox: Zwei-Faktor-Authentifizierung schützt vor unberechtigtem Zugriff (Screenshot: ZDNet.de)
“Dropbox: Zwei-Faktor-Authentifizierung schützt vor unberechtigtem Zugriff (Screenshot: ZDNet.de)

[mit Material von Stefan Beiersmann, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de