Im Jahr 2012 kam es zu einem Hack bei dem Cloud-Speicherdienst Dropbox. Die gestohlenen Zugangsdaten sind dabei offenbar echt, wie ein Selbsttest von Betroffenen gezeigt habe. Dropbox-Nutzer sollten nun ihr Passwort ändern.
(Bildquelle Hack: wk1003mike via Shutterstock)
Mitte 2012 wurden rund 68 Millionen Passwörter des Cloud-Speicherdienstes Dropbox gestohlen. Vor Kurzem tauchten die Passwörter dann im Netz auf – und sind offenbar echt, wie ein Selbsttest von Betroffenen gezeigt habe. Wie Heise Online berichtet, seien die Zugangsdaten von Dropbox zwar „zum Glück“ nur als Hashes gespeichert gewesen, doch etwa die Hälfte der Passwörter seien „nur als einfacher SHA1-Hash mit Salt gesichert“. Deshalb bestehe „eine realistische Gefahr“, dass auch gute Passwörter von Kriminellen geknackt werden könnten.
Die andere Hälfte der Dropbox-Passwörter sei mit bcrypt gesichert. Diese State-of-the-Art-Sicherung mache das Knacken von bereits halbwegs guten Passwörtern „weitestgehend aussichtslos“, da es sich „immens zeitraubend“ gestaltet, erklärt Heise.
Dropbox weist betroffene Nutzer auf Passwortwechsel hin
Nach Angaben von Golem.de sind von dem Hack Nutzer betroffen, die ihren Dropbox-Account vor dem Jahr 2012 angelegt und das Passwort seitdem nicht geändert haben. Das Unternehmen habe alle betroffenen Nutzer per E-Mail zum Wechseln des Passworts aufgefordert. „Wir haben den Reset als Vorsichtsmaßnahme durchgeführt, so dass alte Passwörter aus dem Jahr 2012 nicht genutzt werden können, um unberechtigten Zugang zu Dropbox-Accounts zu erlangen“, erklärte Sicherheitschef Patrick Heim. Nutzer, die bei anderen Diensten das gleiche Passwort verwenden, sollen auch diese zurücksetzen, rät Heim.
Dropbox-Nutzer können mithilfe eines Internet-Dienstes überprüfen, ob ihre Zugangsdaten unter den gestohlenen Daten sind. Der Dienst Have I been pwned bietet dafür einen Selbsttest an, für den der Nutzer lediglich seine E-Mail-Adresse eingeben muss. Wird die Adresse gefunden, spielt das Tool Warnungen aus, in welchem Datensatz die E-Mail-Adresse zu finden ist. Damit lässt sich also auch überprüfen, ob die eigene E-Mail-Adresse auch bei anderen Datenleaks und Hacks abgegriffen wurde.
Kommentar schreiben