• IT-Karriere:
  • Services:

Dropbox-Hack: 68 Millionen Passworthashes veröffentlicht

Ein Sicherheitsforscher hat alle Hashes aus dem Dropbox-Hack des Jahres 2012 veröffentlicht - zu Recherchezwecken, wie er sagt. Etwa die Hälfte davon ist angreifbar.

Artikel veröffentlicht am ,
Die Hashes aus dem Dropbox-Hack stehen jetzt frei im Netz.
Die Hashes aus dem Dropbox-Hack stehen jetzt frei im Netz. (Bild: Dropbox)

Der unter dem Pseudonym CthuluSec bekannte Sicherheitsforscher Thomas White hat auf seiner Webseite einen Mirror des Datensatzes aus dem Dropbox-Hack veröffentlicht. Bislang waren die Daten nur auf Darknetplattformen für rund 1200 US-Dollar zum Kauf angeboten worden. In dem Paket enthalten sind rund 68 Millionen Nutzernamen und Passwörter.

Stellenmarkt
  1. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  2. Fachhochschule Südwestfalen, Soest

Dropbox wurde bereits im Jahr 2012 gehackt, dabei kopierten die Angreifer die nun veröffentlichten Informationen. Die Passwörter liegen etwa zur Hälfte als Bcrypt-Hashes vor und sollten damit relativ sicher sein. Die andere Hälfte der Passwörter ist jedoch mit dem unsicheren Algorithmus SHA1 gehasht, Angreifern dürfe es hier deutlich leichter fallen, den Klartext des Passwortes herauszufinden. Immerhin sind die SHA1-Hashes ohne Salt veröffentlicht worden - was Angriffe erschwert.

White will Grundlage für Recherche schaffen

White begründete die Veröffentlichung der Daten bei Motherboard mit Recherche-Zwecken: "Ich biete Unterstützung an, damit dieser Datensatz auch weiterhin im Netz zu finden ist - für alle, die Probleme haben, eine verlässliche Quelle für ihre Forschung zu finden", schreibt er auf seiner Seite.

Dropbox fordert alle betroffenen Nutzer auf, ihre Passwörter zu ändern, bevor die Accounts wieder genutzt werden können. Wer das für Dropbox im Jahr 2012 verwendete Passwort auch an anderer Stelle genutzt hat, sollte es dort ebenfalls ändern.

Der Sicherheitsforscher Troy Hunt konnte den Einbruch in die Dropbox-Systeme anhand eigener Daten verifizieren. Seine Nachforschungen belegen, dass tatsächlich die Dropbox-Accounts betroffen sind, deren Passwort zuletzt vor Mitte 2012 geändert wurde.

Neben der Passwortänderung können Nutzer ihre Dropbox-Accounts auch per 2-Faktor-Authentifizierung absichern. Dropbox unterstützt dafür auch die Verwendung von Apps wie Google Authenticator, die einen wesentlich besseren Schutz bieten als eine 2FA über SMS.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 4,98€
  2. 4,32€
  3. (-58%) 24,99€
  4. (-80%) 2,99€

hackie 05. Okt 2016

Wenn man Name/PW schon hat, braucht man den Salt nicht mehr zu ermitteln. Und der Salt...

durroon 05. Okt 2016

unter https://haveibeenpwned.com/ kannst du gucken, ob du betroffen bist. bzgl bcrypt...


Folgen Sie uns
       


Pixel 4 XL - Test

Das Pixel 4 XL ist Googles erstes Smartphone mit einer Dualkamera. Im Test haben wir uns diese genau angeschaut.

Pixel 4 XL - Test Video aufrufen
Confidential Computing: Vertrauen ist schlecht, Kontrolle besser
Confidential Computing
Vertrauen ist schlecht, Kontrolle besser

Die IT-Welt zieht in die Cloud und damit auf fremde Rechner. Beim Confidential Computing sollen Daten trotzdem während der Nutzung geschützt werden, und zwar durch die Hardware - keine gute Idee!
Ein IMHO von Sebastian Grüner

  1. Gaia-X Knoten in Altmaiers Cloud identifzieren sich eindeutig
  2. Gaia-X Altmaiers Cloud-Pläne bleiben weiter wolkig
  3. Cloud Ex-SAP-Chef McDermott will Servicenow stark expandieren

Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Indiegames-Rundschau: Der letzte Kampf des alten Cops
Indiegames-Rundschau
Der letzte Kampf des alten Cops

Rollenspiel deluxe mit einem abgehalfterten Polizisten in Disco Elysium, unmöglich-verdrehte Architektur in Manifold Garden und eine höllische Feier in Afterparty: Golem.de stellt die aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Killer trifft Gans
  2. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
  3. Indiegames-Rundschau Epische ASCII-Abenteuer und erlebnishungrige Astronauten

    •  /