Geleakte Zugangsdaten: Der Dropbox-Hack im Jahr 2012 ist wirklich passiert

Mitarbeiter des Cloudspeicherdienstes Dropbox haben bestätigt, dass Nuterzdaten von mehr als 68 Millionen Accounts veröffentlicht wurden. Die Informationen wurden demnach im Jahr 2012 bei einem Einbruch kopiert, auf den Dropbox damals auch hingewiesen hatte. Nur die Größe des Hacks war bislang unklar.

Betroffen sind Nutzer, die ihren Account vor dem Jahr 2012 erstellt und das Passwort seitdem nicht geändert haben. Etwa die Hälfte der Passwörter ist mit bcrypt gesichert und dürfte somit nur schwer zu entschlüsseln sein. Die andere Hälfte der Passwörter ist hingegen mit SHA1 mit Salt und somit schlechter gesichert.

Dropbox-Sicherheitschef Patrick Heim sagte Motherboard, dass alle betroffenen Nutzer zum Passwortwechsel aufgefordert würden. "Wir haben den Reset als Vorsichtsmaßnahme durchgeführt, so dass alte Passwörter aus dem Jahr 2012 nicht genutzt werden können, um unberechtigten Zugang zu Dropbox-Accounts zu erlangen. Wir ermutigen Nutzer, ihr Passwort bei anderen Diensten zurückzusetzen, wenn sie glauben, dass sie dort das gleiche Passwort erneut genutzt haben."

Der Hack ist verifiziert

Der Sicherheitsforscher Troy Hunt verifizierte den Einbruch in die Dropbox-System anhand eigener Daten. Seine Nachforschungen belegen, dass tatsächlich die Dropbox-Accounts betroffen sind, deren Passwort zuletzt vor Mitte 2012 geändert wurden.

Neben der Passwortänderung können Nutzer ihre Dropbox-Accounts auch per 2-Faktor-Authentifizierung absichern. Dropbox unterstützt dafür auch die Verwendung von Apps wie Google Authenticator, die einen wesentlich besseren Schutz bieten als eine 2FA über SMS.