Vorheriger Artikel Nächster Artikel

Dropbox-Schwachstelle ausgenutzt: Unachtsamkeit spielt Hackern Mailadressen zu

Durch ein angeblich über Dritt-Websites gestohlenes Passwort sollen sich Zugang zum Dropbox-Account eines Mitarbeiters des Unternehmens gemacht haben und Adressen von Nutzern für Spam missbraucht haben. Passwörter sollen dabei zwar nicht abhanden gekommen sein, dennoch hat aus Sicherheitsgründen die Passwörter einiger Nutzer zurückgesetzt.

Dropbox-Schwachstelle ausgenutzt: Unachtsamkeit spielt Hackern Mailadressen zu

Dropbox: Gehackte Accounts gesichert, Vorsorge getroffen

Nicht nur der betroffene Dropbox-Mitarbeiter, auch eine kleine Anzahl anderer Nutzer des Dienstes soll über fremde Websites unfreiwillig Passwörter für Hacker zugänglich gemacht haben. Da leider viele Internetnutzer bei mehreren Internetangeboten das gleiche Passwort nutzen würden, habe es ein paar Missbrauchsfälle der entsprechenden Dropbox-Accounts in Form von Spam gegeben, erklärt das Unternehmen in seinem Dropbox Blog. Man habe die geschädigten Accountinhaber inzwischen informiert und ihnen geholfen, ihre Accounts zu sichern. Mit der im Blog geschilderten Hilfestellung ist nicht die E-Mail-Benachrichtigung gemeint, die kürzlich an einige Accountinhaber versandt wurde. Inhalt dieser war es, dass Dropbox-Passwort sei vorsorglich zurückgesetzt worden, man habe aber keine Spuren verdächtiger Aktivitäten feststellen können. Hierbei handelt es sich vielmehr um die Umsetzung von angekündigten Sicherheitsmaßnahmen.

Überall das gleich Passwort zu haben erhöht das Risiko, mehrere Gefahrenherde gleichzeitig zu entfachen. Damit der Schaden nicht ganz so drastisch ausfällt, sollte man ohnehin keine allzu sensiblen Dateien in die Cloud laden. Dann ist auch das Drama nicht so groß, sollte mal ein Server Daten verlieren oder die Dropbox gehackt werden.

Dropbox plant stärkere Kontrollmechanismen

Festzuhalten bleibt, dass wohl kein Sicherheitsmechanismus bei Dropbox direkt ausgehebelt wurde, sondern dass lediglich Einzelpersonen aus Unachtsamkeit unfreiwillig Zutritt zu ihrem Account gewährt haben. Damit aber auch das in Zukunft nicht mehr so leicht zu einem Hebel für Hacker werden kann, will Dropbox weitere Sicherheitsmaßnahmen ergreifen. Angekündigt ist eine optionale zweigliedrige Authentifikation, die neben dem Passwort noch einen temporär gültigen Code, zugesandt auf das Smartphone, beinhaltet. Außerdem sollen Mechanismen eingeführt werden, die Missbrauchsfälle von Accounts automatisch aufspüren. Eine neu angelegte Seite soll zudem alle zu einem Account gehörigen aktiven Logins auflisten.

Grundsätzlich ist es angebracht, für jede Website ein anderes Passwort zu nutzen und wie arstechnica empfiehlt, keine allzu sensiblen Dateien über den Dienst hochzuladen. Sollte das aus irgendwelchen Gründen doch mal unumgänglich sein, könne man diese immer noch zusätzlich verschlüsseln. Über Dienste wie das von Dropbox vorgeschlagene 1Password ist es übrigens ein Kinderspiel, sichere Passwörter für all seine Websites zu erstellen und zu verwalten.

Weiterführende Links:

Bildnachweis für die Newsübersicht: Foto: zodman / flickr.com, Lizenz: CC-BY-SA

NEU: Lass dir diesen Artikel vorlesen
Ein Service von t3n, in Kooperation mit Narando.
Vorheriger Artikel Zurück zur Startseite Nächster Artikel
5 Antworten
  1. von Rico Neitzel am 01.08.2012 (12:19 Uhr)

    Hallo Marcel,

    in diesem Zusammenhang die doch sehr populär-plakative Headline "Dropbox gehackt …" zu verwenden, ist meiner Meinung nach in diesem Zusammenhang überzogen. Verständlich, dass man Aufmerksamkeit ziehen möchte. Aber die ausgenutzte Schwachstelle hier war nicht das System sondern der Mensch.

    Viele Grüße
    Rico

    Antworten Teilen
  2. von Falk Hedemann am 01.08.2012 (12:49 Uhr)

    Hallo Rico,

    vielen Dank für Deinen Hinweis. Es ist in der Tat etwas schwierig zu sagen, ob man das was bei Dropbox vorgefallen ist, nun als „gehackt“ bezeichnen kann oder nicht. Ich habe die Überschrift daher etwas entschärft damit kein falscher Eindruck entsteht. Zu sehr verharmlosen sollte man das aber auch nicht, denn ansonsten hätte Dropbox keine Aufforderungen zur Passwortänderung verschickt.

    Schöne Grüße,
    Falk

    Antworten Teilen
  3. von Un acht sam am 01.08.2012 (13:59 Uhr)

    Dropbox ist schlauer und macht, was Banken und Kreditkartenfirmen schon seit 1999 hätten machen können.

    Antworten Teilen
  4. von mainlevel am 02.08.2012 (15:35 Uhr)

    Also ich bin selbst betroffen von dem Spam, somit gehe ich auch stark davon aus das meine E-Mail Adresse auch in dem Dropbox Ordner des Mitarbeiters gewesen ist. Die Adresse benutzte ich ausschließlich für Dropbox, allerdings habe ich bisher noch gar nichts von Dropbox gehört! Keine Info, keine Rückmeldung, nichts!

    Antworten Teilen
  5. von Rico Neitzel am 02.08.2012 (15:40 Uhr)

    Hallo Falk,

    da hast Du vollkommen Recht. Es waren jedoch keine Passwörter in der Liste dieses Mitarbeiters, lediglich eMailadressen. Ich finde es daher sogar noch besser, dass DropBox da proaktiv tätig wird und sagt: Hey Leute, in letzter Zeit wurden so viele Sites gehackt und wir wissen, dass ihr eigentlich überall das gleiche Passwort mit der gleichen Mailadresse habt, also helfen wir euch aus der Patsche, bevor ihr drin sitzt.

    Eine andere interessante Frage aber ist: Warum gab es eine solche Datei und zu welchem Zweck wurde sie angelegt?! :-D Customer Care? Sales Team? Hm…

    Zwei Leute in meinem Bekanntenkreis haben die Passwort-Mail von DropBox bekommen, ich zum Glück (bisher) nicht.

    Liebe Grüße
    Rico

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema Dropbox
Einfach aber sicher: Wie ein Schweizer Anbieter eure E-Mails schützen will
Einfach aber sicher: Wie ein Schweizer Anbieter eure E-Mails schützen will

ProtonMail verspricht sichere E-Mail-Kommunikation dank Ende-zu-Ende-Verschlüsselung. Dabei soll die Bedienung des Web-Mail-Dienstes nicht schwieriger sein als bei Gmail. » weiterlesen

E-Mail-Account gehackt? Diese 5 Schritte solltest du befolgen
E-Mail-Account gehackt? Diese 5 Schritte solltest du befolgen

Immer wieder machen Nachrichten über gehackte Accounts die Runde – zuletzt traf es den Mail-Anbieter Yahoo. Was du tun solltest, wenn auch dein E-Mail-Account betroffen ist, verrät die unser … » weiterlesen

Mobile-E-Mail: Auf diese Entwicklung müssen Marketer achten [Infografik]
Mobile-E-Mail: Auf diese Entwicklung müssen Marketer achten [Infografik]

Das auf E-Mail-Lösungen spezialisierte Unternehmen ReturnPath hat sich mit aktuellen Trends im Bereich der mobilen E-Mail auseinandergesetzt. Das Ergebnis dieser Untersuchung hat die Firma in Form … » weiterlesen

Kennst Du schon unser t3n Magazin?

t3n-Newsletter t3n-Newsletter
Top-Themen der Woche für Web-Pioniere
Jetzt kostenlos
anmelden
Diesen Hinweis verbergen