Dropbox: Hacker haben angeblich Passwörter von 7 Millionen Nutzern erbeutet [Update]

Die Gruppe hat bereits zahlreiche Passwörter als Beweis auf Pastebin veröffentlicht und will nach dem Erhalt von Spenden per Bitcoin weitere öffentlich machen. Laut Dropbox stammen die Anmeldedaten nicht von den Servern des Unternehmens.

Ihren eigenen Angaben zufolge besitzt eine unbekannte Hackergruppe Anmeldedaten von rund 7 Millionen Dropbox-Konten. Wie The Next Web berichtet, haben sie mehrere Hundert davon im Klartext auf Pastebin veröffentlicht. Auf Reddit bitten sie zudem um „Spenden“ per Bitcoin, um weitere Nutzernamen und Passwörter zu veröffentlichen.

Dropbox-Logo

Reddit-Nutzer haben dem Bericht zufolge bestätigt, dass zumindest einige der Login-Daten unmittelbar nach der Veröffentlichung noch funktionierten. Woher die Zugangsdaten stammten, teilten die Hacker nicht mit.

Einen Hackerangriff auf seine Server hat Dropbox in einer Stellungnahme dementiert. „Die Nutzernamen und Passwörter wurden unglücklicherweise von anderen Diensten gestohlen und bei Versuchen, sich in Dropbox-Konten einzuloggen, benutzt. Wir hatten schon vorher Angriffe entdeckt und der größte Teil der veröffentlichten Passwörter ist schon seit einiger Zeit abgelaufen. Auch alle anderen Passwörter sind jetzt ungültig.“

Weiter heißt es in dem Bericht, Dropbox habe gestern zudem die Passwörter einiger Konten zurückgesetzt. Deren Besitzer würden nun bei der nächsten Anmeldung aufgefordert, ein neues Kennwort zu vergeben. Wahrscheinlich seien die Passwörter im Zusammenhang mit der Veröffentlichung der Anmeldedaten auf Pastebin zurückgesetzt worden.

Dropbox hat nach eigenen Angaben weltweit mehr als 220 Millionen Nutzer. Sollten die Hacker tatsächlich 7 Millionen Anmeldedaten erbeutet haben, wären also rund 3 Prozent der Dropbox-Nutzer betroffen.

Der Cloud-Storage-Anbieter kämpft zurzeit auch mit einem Fehler in seiner Synchronisationsanwendung. „Unglücklicherweise wurde einige Ihrer Dateien gelöscht, während die Dropbox-Anwendung geschlossen oder neugestartet wurde, nachdem die Einstellungen für die selektive Synchronisation geändert wurden“, heißt es in einer E-Mail, die Dropbox an seine Nutzer verschickt hat. Betroffene Anwender erhalten ein Jahr lang kostenlos ein Dropbox-Pro-Konto.

Schon 2012 hatte Dropbox festgestellt, dass von einer Drittanbieter-Website entwendete Passwörter benutzt wurden, um sich bei Dropbox-Konten anzumelden. „Dropbox sicher zu machen, steht im Mittelpunkt dessen, was wir tun, und wir haben Maßnahmen ergriffen, um die Sicherheit ihrer Dropbox zu verbessern, selbst wenn ihr Passwort gestohlen wurde“, teilte das Unternehmen zu dem Zeitpunkt mit.

Im Jahr davor hatte Dropbox die Veröffentlichung von Code auf seiner Website eingeräumt, der es jedem erlaubte, sich ohne Zugangsdaten bei beliebigen Dropbox-Konten anzumelden.

Update 16:47 Uhr

Laut Dropbox gehören die veröffentlichten Zugangsdaten nicht zu Dropbox-Konten. Um sich vor unberechtigtem Zugriff zu schützen, empfielt der Anbieter die Aktivierung der zweistufigen Überprüfung. Ist diese eingeschaltet, sendet Dropbox einen Sicherheitscode per SMS an die zuvor hinterlegte Nummer. Erst damit hat man Zugriff auf das Konto. Damit man diese nicht jedes Mal machen muss, kann man einzelnen Geräten vertrauen, sodass die Zwei-Faktor-Authentifizierung für diese deaktiviert ist. Außerdem sollten Nutzer die Liste der mit dem Dropbox-Konto verbundenen Geräte und Apps überprüfen und die Berechtigung gegebenenfalls entziehen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Dropbox: Hacker haben angeblich Passwörter von 7 Millionen Nutzern erbeutet [Update]

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *