Hacker besitzen angeblich Passwörter von 7 Millionen Dropbox-Nutzern [Update]

Eine unbekannte Hackergruppe ist nach eigenen Angaben im Besitz der Anmeldedaten von rund 7 Millionen Dropbox-Konten. Wie The Next Web berichtet, haben sie mehrere Hundert davon im Klartext auf Pastebin veröffentlicht. Auf Reddit bitten sie zudem um „Spenden“ per Bitcoin, um weitere Nutzernamen und Passwörter zu veröffentlichen.

Dem Bericht zufolge haben Reddit-Nutzer bestätigt, dass zumindest einige der Login-Daten unmittelbar nach der Veröffentlichung noch funktionierten. Woher die Zugangsdaten stammten, teilten die Hacker nicht mit.

Dropbox hat in einer Stellungnahme einen Hackerangriff auf seine Server dementiert. „Die Nutzernamen und Passwörter wurden unglücklicherweise von anderen Diensten gestohlen und bei Versuchen, sich in Dropbox-Konten einzuloggen, benutzt. Wir hatten schon vorher Angriffe entdeckt und der größte Teil der veröffentlichten Passwörter ist schon seit einiger Zeit abgelaufen. Auch alle anderen Passwörter sind jetzt ungültig.“

Der Cloudanbieter habe gestern zudem die Passwörter einiger Konten zurückgesetzt, heißt es weiter in dem Bericht. Deren Besitzer würden nun bei der nächsten Anmeldung aufgefordert, ein neues Kennwort zu vergeben. Wahrscheinlich seien die Passwörter im Zusammenhang mit der Veröffentlichung der Anmeldedaten auf Pastebin zurückgesetzt worden.

Dropbox hat nach eigenen Angaben weltweit mehr als 220 Millionen Nutzer. Sollten die Hacker tatsächlich 7 Millionen Anmeldedaten erbeutet haben, wären also rund 3 Prozent der Nutzer betroffen.

Der Cloud-Storage-Anbieter kämpft zurzeit auch mit einem Fehler in seiner Synchronisationsanwendung. „Unglücklicherweise wurde einige Ihrer Dateien gelöscht, während die Dropbox-Anwendung geschlossen oder neugestartet wurde, nachdem die Einstellungen für die selektive Synchronisation geändert wurden“, heißt es in einer E-Mail, die Dropbox an seine Nutzer verschickt hat. Betroffene Anwender erhalten ein Jahr lang kostenlos ein Dropbox-Pro-Konto.

Schon 2012 hatte Dropbox festgestellt, dass von einer Drittanbieter-Website entwendete Passwörter benutzt wurden, um sich bei Dropbox-Konten anzumelden. „Dropbox sicher zu machen, steht im Mittelpunkt dessen, was wir tun, und wir haben Maßnahmen ergriffen, um die Sicherheit ihrer Dropbox zu verbessern, selbst wenn ihr Passwort gestohlen wurde“, teilte das Unternehmen zu dem Zeitpunkt mit.

Im Jahr davor hatte Dropbox die Veröffentlichung von Code auf seiner Website eingeräumt, der es jedem erlaubte, sich ohne Zugangsdaten bei beliebigen Dropbox-Konten anzumelden.

Update 14.05 Uhr

Laut Dropbox gehören die veröffentlichten Zugangsdaten nicht zu Dropbox-Konten. Um sich vor unberechtigtem Zugriff zu schützen, empfielt der Anbieter die Aktivierung der zweistufigen Überprüfung. Ist diese eingeschaltet, sendet Dropbox einen Sicherheitscode per SMS an die zuvor hinterlegte Nummer. Erst damit hat man Zugriff auf das Konto. Damit man diese nicht jedes Mal machen muss, kann man einzelnen Geräten vertrauen, sodass die Zwei-Faktor-Authentifizierung für diese deaktiviert ist. Außerdem sollten Nutzer die Liste der mit dem Dropbox-Konto verbundenen Geräte und Apps überprüfen und die Berechtigung gegebenenfalls entziehen.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

5 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

5 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

12 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago