System Administrator

ICT Account Manager (m/w/d) in Zürich, Basel oder St. Gallen

Senior ICT System Specialist (m/w/d)

ICT System

Sales Engineer (m/w/d)

Datacenter

Sales

uniQconsulting ag

Java Software Engineer

Consultant Data Operations

Consulting

Senior Software Engineer und Team-Architect / Lead Dev

Adcubum

Junior Service Delivery Manager

Teamleader SAP Engineering & Operations

Senior Product Owner ITSM Ecosystem

Aveniq

Senior .NET Software-Ingenieur/in (80-100%)

bbv Software Services AG

Grosser Dropbox-Datenklau hat Spätfolgen (Mit Dropbox-Statement)

Vor vier Jahren wurden, wie erst jetzt bekannt wurde, Login-Daten von rund 68 Millionen Dropbox-Nutzern geklaut. Zum Glück waren sie gut "gesalzen".

Vor vier Jahren wurden, wie erst jetzt bekannt wurde, Login-Daten von rund 68 Millionen Dropbox-Nutzern geklaut. Zum Glück waren sie gut "gesalzen".Letzte Woche hat Dropbox <a href="https://www.dropbox.com/help/9257" target="_blank" rel="noopener noreferrer">einen Teil seiner User dazu gezwungen</a>, ihre Passwörter zu ändern. Betroffen waren User, die sich vor Mitte 2012 bei Dropbox regisitriert und ihr Passwort seit diesem Zeitpunkt nicht geändert haben. Wie viele Nutzer betroffen waren, gab Dropbox nicht bekannt. Nach Schätzungen von Experten dürften es weltweit einige Dutzend Millionen sein. Als Grund gibt Dropbox an, dass man nun festgestellt habe, dass 2012 möglicherweise Aussenstehende Zugriff auf "einige alte Dropbox-Anmeldedaten (E-Mail-Adressen und gehashte Kennwörter mit Salt)" erlangt hätten."Einige" tönt harmlos, laut <a href="https://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts" target="_blank" rel="noopener noreferrer">'Motherboard' waren es allerdings Daten von über 68 Millionen Accounts</a>. 'Motherboard' hat den kompletten Datensatz erhalten, ein Dropbox-Mitarbeiter, der anonym bleiben wollte, bestätigte gegenüber 'Motherboard'. dass es sich dabei um Daten von Dropbox-Usern handle.Laut Dropbox wurden die Daten wahrscheinlich bei einem Vorfall im Jahre 2012 geklaut, den der Online-Speicherservice bereits damals <a href="https://blogs.dropbox.com/dropbox/2012/07/security-update-new-features/" target="_blank" rel="noopener noreferrer">gemeldet hatte</a>. Gemäss Dropbox hatten Angreifer damals Usernamen und Passwörter, die von anderen Websites gestohlen worden waren, verwendet, um sich Zugang zu einigen Dropbox-Accounts zu verschaffen. Darunter befand sich auch das Konto eines Dropbox-Mitarbeiters, das E-Mail-Adressen von Usern enthielt.Gut gesalzenGrosse Listen von real gebrauchten Passwörtern können das Leben von Hackern ungemein erleichtern. Das gilt sowohl für unverschlüsselte Passwörter als auch für Passwörter, die durch Hashing unkenntlich gemacht wurden, sofern die Hacker einen grossen Teil davon knacken können. Zum Glück war dies bei der Dropbox-Passwortliste anscheinend nicht der Fall. Sowohl 'Motherboard' als auch <a href="https://techcrunch.com/2016/08/30/dropbox-employees-password-reuse-led-to-theft-of-60m-user-credentials/" target="_blank" rel="noopener noreferrer">'Techcrunch'</a> glauben, dass Hacker nur wenige oder gar keine Klartextversionen der gehashten Passwörter herausfinden konnten. Laut 'Motherboard' wurde knapp die Hälfte der Dropbox-Passwörter mit der modernen, starken Hash-Funktion Bcrypt geschützt, der Rest aber mit der älteren, als zunehmend unsicherer geltenden SHA-1-Funktion. Auch letztere scheinen aber durch einen guten Salting-Mechanismus - ein zusätzlicher Schutzmechanismus - ausreichend geschützt gewesen zu sein. 'Motherboard' schliesst dies unter anderem daraus, dass die Files mit den gehashten Passwörtern auf keinem der grösseren Marktplätze im Dark Web zum Verkauf angeboten worden seien. Wenn die Passwörter gut geschützt sind, haben die Listen für Hacker nur einen geringen Wert.Wenn allerdings geklaute Passwörter nur gehashed sind, vor allem wenn dafür eine ältere Methode verwendet wurde, dann sind sie heutzutage schlicht nicht mehr sicher. (Hans Jörg Maron)Warum das so ist, versuchen wir (ganz ohne Mathematik) <a href="http://www.inside-it.ch/articles/44843" target="_blank" rel="noopener noreferrer">in diesem Hintergrund-Artikel</a> zu erklären.Mittlerweile hat uns ein Statement von Dropbox zu diesem Vorfall erreicht.Patrick Heim, Head of Trust & Security bei Dropbox, erklärt:"Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zurAnnahme, dass sich Dritte unrechtmässig Zugang zu Dropbox-Accountsverschafft haben. Unsere Analyse bestätigt, dass es sich bei denAnmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörterhandelt, die dank der komplexen Passwortverschlüsselung "hashed andsalted" unbrauchbar sind. Es sind ausschliesslich Nutzer betroffen, die sich vor Mitte 2012 beiDropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben.Dropbox hat in der vergangenen Woche als reine Vorsichtsmassnahme diesebetroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropboxbestätigt, dass das Zurücksetzen der Passwörter vergangene Wocheabgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer,die möglicherweise ein identisches Passwort auch bei anderen Servicesnutzen, Vorsichtsmassnahmen ergreifen. Idealerweise sollten diesePasswörter aktualisiert und Zwei-Faktor-Authentifizierungaktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung vonDropbox erhalten haben, wachsam vor Spam oder Phishing sein."