Letzte Woche hat Dropbox einen Teil seiner User dazu gezwungen, ihre Passwörter zu ändern. Betroffen waren User, die sich vor Mitte 2012 bei Dropbox regisitriert und ihr Passwort seit diesem Zeitpunkt nicht geändert haben. Wie viele Nutzer betroffen waren, gab Dropbox nicht bekannt. Nach Schätzungen von Experten dürften es weltweit einige Dutzend Millionen sein.

Als Grund gibt Dropbox an, dass man nun festgestellt habe, dass 2012 möglicherweise Aussenstehende Zugriff auf "einige alte Dropbox-Anmeldedaten (E-Mail-Adressen und gehashte Kennwörter mit Salt)" erlangt hätten.

"Einige" tönt harmlos, laut 'Motherboard' waren es allerdings Daten von über 68 Millionen Accounts. 'Motherboard' hat den kompletten Datensatz erhalten, ein Dropbox-Mitarbeiter, der anonym bleiben wollte, bestätigte gegenüber 'Motherboard'. dass es sich dabei um Daten von Dropbox-Usern handle.

Laut Dropbox wurden die Daten wahrscheinlich bei einem Vorfall im Jahre 2012 geklaut, den der Online-Speicherservice bereits damals gemeldet hatte. Gemäss Dropbox hatten Angreifer damals Usernamen und Passwörter, die von anderen Websites gestohlen worden waren, verwendet, um sich Zugang zu einigen Dropbox-Accounts zu verschaffen. Darunter befand sich auch das Konto eines Dropbox-Mitarbeiters, das E-Mail-Adressen von Usern enthielt.

Grosse Listen von real gebrauchten Passwörtern können das Leben von Hackern ungemein erleichtern. Das gilt sowohl für unverschlüsselte Passwörter als auch für Passwörter, die durch Hashing unkenntlich gemacht wurden, sofern die Hacker einen grossen Teil davon knacken können. Zum Glück war dies bei der Dropbox-Passwortliste anscheinend nicht der Fall. Sowohl 'Motherboard' als auch 'Techcrunch' glauben, dass Hacker nur wenige oder gar keine Klartextversionen der gehashten Passwörter herausfinden konnten. Laut 'Motherboard' wurde knapp die Hälfte der Dropbox-Passwörter mit der modernen, starken Hash-Funktion Bcrypt geschützt, der Rest aber mit der älteren, als zunehmend unsicherer geltenden SHA-1-Funktion. Auch letztere scheinen aber durch einen guten Salting-Mechanismus - ein zusätzlicher Schutzmechanismus - ausreichend geschützt gewesen zu sein. 'Motherboard' schliesst dies unter anderem daraus, dass die Files mit den gehashten Passwörtern auf keinem der grösseren Marktplätze im Dark Web zum Verkauf angeboten worden seien. Wenn die Passwörter gut geschützt sind, haben die Listen für Hacker nur einen geringen Wert.

Wenn allerdings geklaute Passwörter nur gehashed sind, vor allem wenn dafür eine ältere Methode verwendet wurde, dann sind sie heutzutage schlicht nicht mehr sicher. (Hans Jörg Maron)

Warum das so ist, versuchen wir (ganz ohne Mathematik) in diesem Hintergrund-Artikel zu erklären.

Patrick Heim, Head of Trust & Security bei Dropbox, erklärt:

"Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur

Annahme, dass sich Dritte unrechtmässig Zugang zu Dropbox-Accounts

verschafft haben. Unsere Analyse bestätigt, dass es sich bei den

Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter

handelt, die dank der komplexen Passwortverschlüsselung "hashed and

salted" unbrauchbar sind.

Es sind ausschliesslich Nutzer betroffen, die sich vor Mitte 2012 bei

Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben.

Dropbox hat in der vergangenen Woche als reine Vorsichtsmassnahme diese

betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox

bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche

abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.

Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer,

die möglicherweise ein identisches Passwort auch bei anderen Services

nutzen, Vorsichtsmassnahmen ergreifen. Idealerweise sollten diese

Passwörter aktualisiert und Zwei-Faktor-Authentifizierung

aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von

Dropbox erhalten haben, wachsam vor Spam oder Phishing sein."