Vor vier Jahren wurden, wie erst jetzt bekannt wurde, Login-Daten von rund 68 Millionen Dropbox-Nutzern geklaut. Zum Glück waren sie gut "gesalzen".
Letzte Woche hat Dropbox
einen Teil seiner User dazu gezwungen, ihre Passwörter zu ändern. Betroffen waren User, die sich vor Mitte 2012 bei Dropbox regisitriert und ihr Passwort seit diesem Zeitpunkt nicht geändert haben. Wie viele Nutzer betroffen waren, gab Dropbox nicht bekannt. Nach Schätzungen von Experten dürften es weltweit einige Dutzend Millionen sein.
Als Grund gibt Dropbox an, dass man nun festgestellt habe, dass 2012 möglicherweise Aussenstehende Zugriff auf "einige alte Dropbox-Anmeldedaten (E-Mail-Adressen und gehashte Kennwörter mit Salt)" erlangt hätten.
Laut Dropbox wurden die Daten wahrscheinlich bei einem Vorfall im Jahre 2012 geklaut, den der Online-Speicherservice bereits damals
gemeldet hatte. Gemäss Dropbox hatten Angreifer damals Usernamen und Passwörter, die von anderen Websites gestohlen worden waren, verwendet, um sich Zugang zu einigen Dropbox-Accounts zu verschaffen. Darunter befand sich auch das Konto eines Dropbox-Mitarbeiters, das E-Mail-Adressen von Usern enthielt.
Gut gesalzen
Grosse Listen von real gebrauchten Passwörtern können das Leben von Hackern ungemein erleichtern. Das gilt sowohl für unverschlüsselte Passwörter als auch für Passwörter, die durch Hashing unkenntlich gemacht wurden, sofern die Hacker einen grossen Teil davon knacken können. Zum Glück war dies bei der Dropbox-Passwortliste anscheinend nicht der Fall. Sowohl 'Motherboard' als auch
'Techcrunch' glauben, dass Hacker nur wenige oder gar keine Klartextversionen der gehashten Passwörter herausfinden konnten. Laut 'Motherboard' wurde knapp die Hälfte der Dropbox-Passwörter mit der modernen, starken Hash-Funktion Bcrypt geschützt, der Rest aber mit der älteren, als zunehmend unsicherer geltenden SHA-1-Funktion. Auch letztere scheinen aber durch einen guten Salting-Mechanismus - ein zusätzlicher Schutzmechanismus - ausreichend geschützt gewesen zu sein. 'Motherboard' schliesst dies unter anderem daraus, dass die Files mit den gehashten Passwörtern auf keinem der grösseren Marktplätze im Dark Web zum Verkauf angeboten worden seien. Wenn die Passwörter gut geschützt sind, haben die Listen für Hacker nur einen geringen Wert.
Wenn allerdings geklaute Passwörter nur gehashed sind, vor allem wenn dafür eine ältere Methode verwendet wurde, dann sind sie heutzutage schlicht nicht mehr sicher. (Hans Jörg Maron)
Mittlerweile hat uns ein Statement von Dropbox zu diesem Vorfall erreicht.
Patrick Heim, Head of Trust & Security bei Dropbox, erklärt:
"Dies ist kein neuer Sicherheitsvorfall und wir haben keinen Grund zur
Annahme, dass sich Dritte unrechtmässig Zugang zu Dropbox-Accounts
verschafft haben. Unsere Analyse bestätigt, dass es sich bei den
Anmeldedaten um E-Mail-Adressen von Dropbox-Nutzern und Passwörter
handelt, die dank der komplexen Passwortverschlüsselung "hashed and
salted" unbrauchbar sind.
Es sind ausschliesslich Nutzer betroffen, die sich vor Mitte 2012 bei
Dropbox angemeldet haben und seitdem ihr Passwort nicht geändert haben.
Dropbox hat in der vergangenen Woche als reine Vorsichtsmassnahme diese
betroffenen Nutzer aufgefordert, ihre Passwörter zu ändern. Dropbox
bestätigt, dass das Zurücksetzen der Passwörter vergangene Woche
abgeschlossen wurde und die Gesamtheit aller betroffenen Nutzer abdeckt.
Obwohl die Dropbox-Konten geschützt sind, sollten betroffene Nutzer,
die möglicherweise ein identisches Passwort auch bei anderen Services
nutzen, Vorsichtsmassnahmen ergreifen. Idealerweise sollten diese
Passwörter aktualisiert und Zwei-Faktor-Authentifizierung
aktiviert werden. Zudem sollten Nutzer, die eine Benachrichtigung von
Dropbox erhalten haben, wachsam vor Spam oder Phishing sein."