/Tech

Alles, was ihr zum Dropbox-Hack wissen müsst

Helena Kaschel 05.09.2016

Ein Hack aus dem Jahr 2012 könnte für Millionen von Dropbox-Nutzern jetzt problematisch werden. Schon damals hatte der Filehosting-Dienst auf den Einbruch hingewiesen, aber der Umfang war bisher unklar. Was hinter dem Angriff steckt und wie ihr euch schützen könnt, lest ihr hier.

Was ist passiert?

Im Sommer 2012 erreichten Dropbox immer wieder Beschwerden über Spam-Nachrichten, die Nutzer über Dropbox-E-Mail-Adressen erhalten hätten. Das Unternehmen reagierte mit einem Blogpost. Darin hieß es, der Spam sei auf gehackte Benutzernamen und Passwörter zurückzuführen, dies betreffe aber nur eine “kleine Anzahl” von Accounts.

Fast genau vier Jahre später wurden Nutzer nun per E-Mail von Dropbox aufgefordert, ihr Passwort zurückzusetzen, sollten sie es seit Mitte 2012 nicht geändert haben. Auch in dieser E-Mail wurden die Nutzer nicht über den Umfang des Hacks aufgeklärt. Wie gravierend der Leak ist, wurde erst bekannt, als dem Vice-Magazin Motherboard die entsprechenden Daten zugespielt wurden.

Der Datensatz besteht aus verschlüsselten Passwörtern, was erst einmal nicht so gefährlich klingt. Das Problem: Rund die Hälfte der geleakten Passwörter ist nur durch eine veraltete, schwache Verschlüsselung gesichert - und somit anfällig für Hackerangriffe.

Wen betrifft das?

Nach Informationen von Motherboard wurden mehr als 68 Millionen Accounts gehackt. Die Zahlen wurden sowohl von Dropbox selbst als auch vom Sicherheitsforscher Troy Hunt bestätigt. Potenziell betroffen sind Nutzer, die ihr Dropbox-Passwort seit 2012 nicht mehr geändert haben. Wie gefährlich der Einbruch ist, hängt allerdings von der jeweiligen Art der Passwortverschlüsselung ab.

Wie ernst ist die Situation?

In der E-Mail, in der Nutzer zur Passwortänderung aufgefordert wurden, schrieb Dropbox, es handele sich um “eine rein präventive Maßnahme”. Zum zweiten Mal setzt das Unternehmen also auf Imageschutz statt auf Transparenz. Denn tatsächlich kann von Prävention keine Rede sein – höchstens von Schadensbegrenzung.

Zwar sind etwa die Hälfte aller Passwörter mit dem vergleichsweise sicheren Hash-Verfahren bcrypt gesichert und somit schwer zu knacken. Die anderen Accounts sind aber deutlich stärker gefährdet, da die entsprechenden Klartext-Passwörter mit dem veralteten Algorithmus SHA-1 verschlüsselt sind und so in relativ kurzer Zeit ermittelt werden können.

Wie kann man sich schützen?

Unter “Have I Been Pwned” können Nutzer nachschauen, ob ihre Daten von dem Hack betroffen sind. Wenn ja, sollten sie zuallererst ihr Passwort zurücksetzen, und zwar sowohl bei Dropbox als auch bei anderen Diensten, für die sie das gleiche Kennwort benutzt haben könnten. Dropbox empfiehlt Nutzern außerdem, ihren Account durch eine 2-Faktor-Authentifizierung zu schützen. Entsprechende Apps wie den Google Authenticator werden von Dropbox unterstützt.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++