Hacker besitzen angeblich Passwörter von 7 Millionen Dropbox-Nutzern [Update]

Eine unbekannte Hackergruppe ist nach eigenen Angaben im Besitz der Anmeldedaten von rund 7 Millionen Dropbox-Konten. Wie The Next Web berichtet, haben sie mehrere Hundert davon im Klartext auf Pastebin veröffentlicht. Auf Reddit bitten sie zudem um „Spenden“ per Bitcoin, um weitere Nutzernamen und Passwörter zu veröffentlichen.

Dem Bericht zufolge haben Reddit-Nutzer bestätigt, dass zumindest einige der Login-Daten unmittelbar nach der Veröffentlichung noch funktionierten. Woher die Zugangsdaten stammten, teilten die Hacker nicht mit.

Dropbox hat in einer Stellungnahme einen Hackerangriff auf seine Server dementiert. „Die Nutzernamen und Passwörter wurden unglücklicherweise von anderen Diensten gestohlen und bei Versuchen, sich in Dropbox-Konten einzuloggen, benutzt. Wir hatten schon vorher Angriffe entdeckt und der größte Teil der veröffentlichten Passwörter ist schon seit einiger Zeit abgelaufen. Auch alle anderen Passwörter sind jetzt ungültig.“

Der Cloudanbieter habe gestern zudem die Passwörter einiger Konten zurückgesetzt, heißt es weiter in dem Bericht. Deren Besitzer würden nun bei der nächsten Anmeldung aufgefordert, ein neues Kennwort zu vergeben. Wahrscheinlich seien die Passwörter im Zusammenhang mit der Veröffentlichung der Anmeldedaten auf Pastebin zurückgesetzt worden.

Dropbox hat nach eigenen Angaben weltweit mehr als 220 Millionen Nutzer. Sollten die Hacker tatsächlich 7 Millionen Anmeldedaten erbeutet haben, wären also rund 3 Prozent der Nutzer betroffen.

Der Cloud-Storage-Anbieter kämpft zurzeit auch mit einem Fehler in seiner Synchronisationsanwendung. „Unglücklicherweise wurde einige Ihrer Dateien gelöscht, während die Dropbox-Anwendung geschlossen oder neugestartet wurde, nachdem die Einstellungen für die selektive Synchronisation geändert wurden“, heißt es in einer E-Mail, die Dropbox an seine Nutzer verschickt hat. Betroffene Anwender erhalten ein Jahr lang kostenlos ein Dropbox-Pro-Konto.

Schon 2012 hatte Dropbox festgestellt, dass von einer Drittanbieter-Website entwendete Passwörter benutzt wurden, um sich bei Dropbox-Konten anzumelden. „Dropbox sicher zu machen, steht im Mittelpunkt dessen, was wir tun, und wir haben Maßnahmen ergriffen, um die Sicherheit ihrer Dropbox zu verbessern, selbst wenn ihr Passwort gestohlen wurde“, teilte das Unternehmen zu dem Zeitpunkt mit.

Im Jahr davor hatte Dropbox die Veröffentlichung von Code auf seiner Website eingeräumt, der es jedem erlaubte, sich ohne Zugangsdaten bei beliebigen Dropbox-Konten anzumelden.

Update 14.05 Uhr

Laut Dropbox gehören die veröffentlichten Zugangsdaten nicht zu Dropbox-Konten. Um sich vor unberechtigtem Zugriff zu schützen, empfielt der Anbieter die Aktivierung der zweistufigen Überprüfung. Ist diese eingeschaltet, sendet Dropbox einen Sicherheitscode per SMS an die zuvor hinterlegte Nummer. Erst damit hat man Zugriff auf das Konto. Damit man diese nicht jedes Mal machen muss, kann man einzelnen Geräten vertrauen, sodass die Zwei-Faktor-Authentifizierung für diese deaktiviert ist. Außerdem sollten Nutzer die Liste der mit dem Dropbox-Konto verbundenen Geräte und Apps überprüfen und die Berechtigung gegebenenfalls entziehen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de