Hacker besitzen angeblich Passwörter von 7 Millionen Dropbox-Nutzern [Update]

Eine unbekannte Hackergruppe ist nach eigenen Angaben im Besitz der Anmeldedaten von rund 7 Millionen Dropbox-Konten. Wie The Next Web berichtet, haben sie mehrere Hundert davon im Klartext auf Pastebin veröffentlicht. Auf Reddit bitten sie zudem um „Spenden“ per Bitcoin, um weitere Nutzernamen und Passwörter zu veröffentlichen.

Dem Bericht zufolge haben Reddit-Nutzer bestätigt, dass zumindest einige der Login-Daten unmittelbar nach der Veröffentlichung noch funktionierten. Woher die Zugangsdaten stammten, teilten die Hacker nicht mit.

Dropbox hat in einer Stellungnahme einen Hackerangriff auf seine Server dementiert. „Die Nutzernamen und Passwörter wurden unglücklicherweise von anderen Diensten gestohlen und bei Versuchen, sich in Dropbox-Konten einzuloggen, benutzt. Wir hatten schon vorher Angriffe entdeckt und der größte Teil der veröffentlichten Passwörter ist schon seit einiger Zeit abgelaufen. Auch alle anderen Passwörter sind jetzt ungültig.“

Der Cloudanbieter habe gestern zudem die Passwörter einiger Konten zurückgesetzt, heißt es weiter in dem Bericht. Deren Besitzer würden nun bei der nächsten Anmeldung aufgefordert, ein neues Kennwort zu vergeben. Wahrscheinlich seien die Passwörter im Zusammenhang mit der Veröffentlichung der Anmeldedaten auf Pastebin zurückgesetzt worden.

Dropbox hat nach eigenen Angaben weltweit mehr als 220 Millionen Nutzer. Sollten die Hacker tatsächlich 7 Millionen Anmeldedaten erbeutet haben, wären also rund 3 Prozent der Nutzer betroffen.

Der Cloud-Storage-Anbieter kämpft zurzeit auch mit einem Fehler in seiner Synchronisationsanwendung. „Unglücklicherweise wurde einige Ihrer Dateien gelöscht, während die Dropbox-Anwendung geschlossen oder neugestartet wurde, nachdem die Einstellungen für die selektive Synchronisation geändert wurden“, heißt es in einer E-Mail, die Dropbox an seine Nutzer verschickt hat. Betroffene Anwender erhalten ein Jahr lang kostenlos ein Dropbox-Pro-Konto.

Schon 2012 hatte Dropbox festgestellt, dass von einer Drittanbieter-Website entwendete Passwörter benutzt wurden, um sich bei Dropbox-Konten anzumelden. „Dropbox sicher zu machen, steht im Mittelpunkt dessen, was wir tun, und wir haben Maßnahmen ergriffen, um die Sicherheit ihrer Dropbox zu verbessern, selbst wenn ihr Passwort gestohlen wurde“, teilte das Unternehmen zu dem Zeitpunkt mit.

Im Jahr davor hatte Dropbox die Veröffentlichung von Code auf seiner Website eingeräumt, der es jedem erlaubte, sich ohne Zugangsdaten bei beliebigen Dropbox-Konten anzumelden.

Update 14.05 Uhr

Laut Dropbox gehören die veröffentlichten Zugangsdaten nicht zu Dropbox-Konten. Um sich vor unberechtigtem Zugriff zu schützen, empfielt der Anbieter die Aktivierung der zweistufigen Überprüfung. Ist diese eingeschaltet, sendet Dropbox einen Sicherheitscode per SMS an die zuvor hinterlegte Nummer. Erst damit hat man Zugriff auf das Konto. Damit man diese nicht jedes Mal machen muss, kann man einzelnen Geräten vertrauen, sodass die Zwei-Faktor-Authentifizierung für diese deaktiviert ist. Außerdem sollten Nutzer die Liste der mit dem Dropbox-Konto verbundenen Geräte und Apps überprüfen und die Berechtigung gegebenenfalls entziehen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

1 Tag ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago