Awareness

Dropbox Hack – Nutzer müssen aktiv werden!

Aktualisiert am

Besitzt ein Unternehmen viele Accounts, steigt das Interesse aus Sicht von Kriminellen, diese zu entwenden. So fand der Dropbox Hack bereits 2012 statt – holt ihn jetzt jedoch ein. Accounts, mit deren Hilfe man auf Daten zugreifen kann, sind besonders wertvoll. So wird die Sicherung in der Cloud für Betroffene zum Desaster. Betroffen oder nicht? So findet ihr heraus!

Dropbox Hack fand bereits 2012 statt!

Ganze 68 Millionen Accountdaten haben die Hacker 2012 entwendet. Wären die Passwörter sicher gespeichert1, wären Nutzer nicht gezwungen ihre Passwörter zu ändern . Die Passwörter wurden zumindest nicht im Klartext gespeichert. Jedoch wurden lediglich die Hälfte der Passwörter nach heutigem Stand sicher verschlüsselt2. Ob sicher oder nicht – die Daten sind nicht mehr ausschließlich bei Dropbox gespeichert. Nutzer sollten an dieser Stelle aktiv werden und ihr Passwort ändern. So beugt man Stress und einem Identitätsdiebstahl vor.

Wie finde ich heraus, ob ich vom Dropbox Hack betroffen bin?

Die Website haveibeendpwned.com3 widmet sich Datenleaks. Will man herausfinden, ob die eigene Email von diversen Datenlecks betroffen ist, so kann man diese in die Suchleiste eintragen. Auch Nutzernamen kann man verwenden, falls man vielleicht Trashmails bei der einen oder anderen Website verwendet hat. Im besten Fall sieht die Nachricht wie folgt aus:

Good news dropbox hack
Die Email Adresse wurde in den gestohlenen Datensätzen nicht gefunden! (Quelle: Screenshot https://haveibeenpwned.com/)

Etwas umfangreicher und kritischer ist die Meldung, wenn die eigene Email Adresse in den Datensätzen auftaucht.

Bad News Dropbox hack
Die Email Adresse wurde bei Datenleaks von Dropbox und LinkedIn gefunden. Ändert lieber euer Passwort! Quelle: Screenshot https://haveibeenpwned.com/)

Die Überprüfung bezieht sich jedoch längst nicht auf LinkedIn und Dropbox.

Geleakte Accounts inkl dropbox hack
Dropbox hat sich schnell unter die Top 10 der größeren, bekannten Datenlecks katapultiert. (Quelle: https://haveibeenpwned.com/)

Potenziell könnt ihr also Opfer eines jeden einzelnen Dienstes sein. Die Liste4  der Websites, welche von einem Datendiebstahl betroffen sind, ist noch wesentlich umfangreicher. So einige Emails wurden auch schon durch die Datenbank gejagt.

Dropbox hack und andere leaks
Die Statistiken von haveibeenpwned.com verraten viel über die Probleme der IT-Sicherheit. Screenshot: Quelle https://haveibeenpwned.com)

Mein Fazit zum Dropbox Hack!

IT-Sicherheit ist kein zusätzliches Plus, welches man nach installieren kann. Die ganzen Datenlecks zeigen, das IT-Sicherheit ganzheitlich gesehen werden muss. Sicherheitsfunktionen ausschließlich im Nachhinein zu implementieren ist grob fahrlässig.

Bereits bei der Entwicklung sollten gängigste Basics, wie z.B. die sichere Speicherung von Passwörtern, berücksichtigt werden. Ein Datendiebstahl kann einem sonst in Zukunft zum Verhängnis werden. Mein Tipp an dieser Stelle: Passwort vom Dropbox, und jedem anderem betroffenen Account ändern! Vergesst nicht die Passwörter auch auf allen Devices und Clients zu korrigieren! Und ein eigener Cloudspeicher ist nicht unbedingt besser.

Ein besonderer Fall von Datenmissbrauch stellt übrigens das sogenannte Doxing dar. Opfer von dieser Angriffsmethode sind Anfang 2019 zahlreiche Politiker geworden. Der große Politiker Hack hat bundesweit für Aufmerksamkeit gesorgt.

Edit 27.08.2022: Im Bereich von Informationssicherheit ist Dropbox sehr aktiv geworden. Der Umzug der AWS Cloud auf eine eigene Infrastruktur hat unter anderem dafür gesorgt, dass die Notfallszenarien bis zum worst-case, nämlich dem Ausfall eines kompletten Rechenzentrums, durchgeprobt werden können.

Weitere Informationen und Quellen

[1] Check if you have an account that has beed compromised in data breach (haveIBeenPwned.com)
[2] Pwned Websites (haveIBeenPwned.com)
[3] Der Dropbox Hack im Jahr 2012 ist wirklich passiert (golem)
[4] Infografik: Password Hash einfach erklärt (technique-blog)

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.