Derzeit verschickt der Cloudspeicher-Anbieter Dropbox E-Mails an seine Nutzer. Darin fordert das Unternehmen auf, das Passwort zu ändern. Viele Nutzer halten diese Nachricht für einen Phishing-Versuch. In Wahrheit ist sie ernst gemeint und Folge eines riesigen Hacks der Dropbox-Accounts. 68 Millionen Accounts sind betroffen. Wer Dropbox bereits länger nutzt, muss daher sein Passwort ändern. Denn der Anbieter hat die Passwörter der betroffenen Accounts zurückgesetzt. Darunter fallen unter anderem viele Kunden-Logins, die durch die tiefe Verknüpfung von Dropbox mit den Android-Versionen verschiedener Smartphone-Hersteller entstanden sind.
Kein Phishing: eine unscheinbare E-Mail von Dropbox
Es besteht die Gefahr, dass die Dropbox-Nutzer ihre Benachrichtigung übersehen oder als Phishing-Versuch eingeordnet haben. Der Grund ist der unscheinbare Text mit Links zur Webseite von Dropbox. Der Inhalt der E-Mail lautet:
„Hallo Nutzername,
falls Sie Ihr Dropbox-Kennwort seit Mitte 2012 nicht geändert haben, werden Sie bei Ihrer nächsten Anmeldung dazu aufgefordert. Dies ist eine rein präventive Maßnahme – wir danken Ihnen für Ihre Mithilfe.
Weitere Infos zu dieser Vorsichtsmaßnahme finden Sie auf dieser Seite https://help.dropbox.com/accounts-billing/settings-sign-in/expired-password in unserem Hilfecenter. Bei Fragen wenden Sie sich bitte an password-reset-help@dropbox.com.
Vielen Dank!
Das Dropbox-Team“
Der Link enthält im Original zusätzlich einen Ref-Code, mit dem Dropbox die Herkunft des Klicks der Info-Mail zuordnen kann. Der Informationstext spielt sachlich und unspektakulär das ganze Ausmaß des Vorgangs herunter.
Dropbox-Hack: Das müssen Nutzer wissen
Nutzer müssen laut offizieller Angaben keine Angst um ihren Account haben. Es liegen dem Betreiber demnach keine Hinweise vor, dass tatsächlich Accounts gehackt sind. Da die Passwörter automatisiert zurückgesetzt wurden, besteht derzeit keine akute Gefahr mehr. Dennoch sollten die Dropbox-Nutzer ihre Daten zügig aktualisieren und beim Ändern des Passwortes unbedingt ein frisches Passwort wählen. Der Grund liegt auf der Hand: Genau diese Passwörter sind in die Hände der Hacker geraten. Zusätzlich ist nachdrücklich zu empfehlen, alle Daten auf Dropbox nur passwortgeschützt zu speichern.
Betroffen sind alle Nutzer, die von Dropbox die sicherheits-E-Mail bekommen haben. Das sind Adressaten, die wenigstens seit 2012 einen Dropbox-Account haben. Wichtig: Wer sein altes Dropbox-Passwort für weitere Accounts auf anderen Plattformen nutzt, sollte dieses überall durch ein neues ersetzen.
Wie konnten Hacker über 60 Millionen Account-Daten stehlen?
„Die Hintergründe des Hacks sind fast schon kurios. Der Hack geschah bereits 2012. Den Angreifern gelang es zunächst, eine große Anzahl LinkedIn-Accounts zu hacken. Darunter befand sich das eines Mitarbeiters von Dropbox. Dieser nutzte für LinkedIn und Dropbox das gleiche Passwort. Damit fanden die Hacker Zugang zu Millionen, teilweise nach älteren, teilweise nach neueren Sicherheitsstandards verschlüsselten Passwörtern.
Diese Daten wurden auszugsweise kürzlich einem Magazin zugespielt. Die Echtheit ist inzwischen offiziell bestätigt. Ob die Passwörter zwischenzeitlich genutzt wurden, ist derzeit unklar. Da die Dropbox-Betreiber vorsorglich alle betroffenen Accounts zurückgesetzt haben, sind die Passwörter in den Händen der Hacker jedoch inzwischen unbrauchbar.“
Stellungnahme zum Artikel von Patrick Heim, Head of Trust & Security bei Dropbox
„Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur Annahme, dass sich Dritte unrechtmäßig Zugang zu Dropbox-Accounts verschafft haben. Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung „hashed and salted“ unbrauchbar sind.
Mehr Informationen
Dropbox Webseite
Sicherheit im Internet – Datenhandel & Computerkrankheiten
Cloud Computing – Datendienste im Vergleich
Hinterlasse jetzt einen Kommentar