Dropbox-Hack: 68 Millionen Passwörter tauchen im Netz auf

Bei einem Hack im Jahr 2012 wurden Daten von den Dropbox-Systemen gestohlen. Der Cloudanbieter selber hat bis vor kurzem behauptet, es habe sich ausschließlich um E-Mailadressen von Kunden gehandelt. Jetzt sind die damals gestohlenen Informationen im Netz aufgetaucht, wie Motherboard berichtet, und es zeigt sich, dass die Hacker die kompletten Zugangsdaten von 68 Millionen Nutzern entwendet haben, also jeweils E-Mail und Passwort. Die Passwörter sind zwar gehasht und gesalzen, also kryptografisch gegen das Auslesen gesichert, allerdings nur in etwa der Hälfte der Fälle mit dem aktuellen bcrypt-Algorithmus, der Rest ist nach den veralteten SHA-1-Regeln unkenntlich gemacht. Dropbox hat vergangene Woche alle betroffenen Nutzer gewarnt.

Dropbox-Mitarbeiter an Hack schuld

Dass das Risiko eines tatsächlichen Missbrauchs der Daten zum Einbruch in eine Dropbox damit gering ist, täuscht nicht darüber hinweg, dass sich Dropbox nicht korrekt verhalten hat und damit die Sicherheit seiner Kunden gefährdet hat. Erstens war das Unternehmen offensichtlich nicht ehrlich, was das Ausmaß des Hacks betroffen hat, zweitens wurden 2012 nur wenige Accounts zurückgesetzt und drittens konnte der Hack überhaupt nur gelingen, weil ein Dropbox-Mitarbeiter ein altes Passwort, das bereits gehackt worden war, wiederverwendet hat, wie der Guardian schreibt. Dropbox-Kunden sollten dringend die Zwei-Faktoren-Authentifizierung einschalten, um das Risiko eines weiteren Hacks zu mindern. Zudem sollten Passwörter nur für je einen Zugang genutzt werden.