Dropbox hat jetzt eingeräumt, dass Unbekannten 68 Millionen Passwörter seiner Kunden in die Hände gefallen sind. Wie Patrick Heim, Head of Trust & Security bei Dropbox, erklärte, handelt es sich um eine Liste mit Benutzernamen und Passwörter die offensichtlich von Mitte 2012 stammt. Bislang gebe es keine Anzeichen für unberechtigte Zugriffe auf Nutzer-Konten. “Unsere Analyse bestätigt, dass es sich bei den Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter handelt, die dank der komplexen Passwortverschlüsselung “hashed and salted” unbrauchbar sind”, so Heim. Log-in-Daten von betroffenen Nutzern habe man jedoch sicherheitshalber zurückgesetzt.
“Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen”, so Heim. Anfang der Woche forderte Dropbox Nutzer noch rein “vorsorglich” zu einem Passwortwechsel auf, falls der Zugangscode seit Mitte 2012 unverändert sei. Es bestehe sonst ein unnötiges Sicherheitsrisiko.
Das Unternehmen betonte da noch, es habe weder einen konkreten Vorfall gegeben noch liege ein Verdacht auf Missbrauch vor. Es handle sich lediglich um einen pragmatischen Hinweis, da man bei “Routinemaßnahmen” auf einen im Internet kursierenden Datensatz aus dem Jahr 2012 gestoßen sei.
Sicherheitsforscher Troy Hunt hat den Einbruch in die Dropbox-Systeme anhand eigener Daten überprüft. Auch ihm zufolge sind Nutzterkonten gefährdet, deren Passwort zuletzt Mitte 2012 geändert wurde.
Dropbox fordert nun Nutzer mit Zugangsdaten, die älter sind, beim nächsten Log-in zu einer Aktualisierung auf. Zugleich weist es auf seine Zwei-Faktor-Authentifizierung hin. Es unterstützt dazu seit August 2015 auch USB-Sicherheitskeys, die nach Universal 2nd Factor, kurz U2F, einem Standard der FIDO Alliance arbeiten. Sie werden unter anderem von Yubico angeboten. Der Schlüssel lässt sich weder abfangen noch kopieren und anders als bei SMS- und App-Codes ist auch keine Eingabe durch den Nutzer erforderlich.
[mit Material von Anja Schmoll-Trautmann, ZDNet.de]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Norwegen und Dänemark warnen vor US-Cloud-Anbietern. Wann werden Regeln zum Datenschutz verschärft? Ein Gastbeitrag von…
Für die Erkennung und Abwehr von Cyberangriffen ist Transparenz über alle Einfallstore hinweg entscheidend, sagt…
Neuronale Netze trainieren erfordert enorme Rechenressourcen. Bisher. Ein neues Verfahren soll nun jede Menge Strom…
Der aktuelle Threat Labs Report von Netskope zeigt die Hauptrisiken und enthüllt die wichtigsten Angreifergruppen.
Unternehmen sind branchenübergreifend auf biometrische Identifizierungssysteme angewiesen, um Zugänge möglichst sicher und komfortabel zu gestalten.
Bei der Qualitätssicherung generativer KI reichen herkömmliche Methoden nicht mehr aus. Da hilft nur eine…
