Besitzt ein Unternehmen viele Accounts, steigt das Interesse aus Sicht von Kriminellen, diese zu entwenden. So fand der Dropbox Hack bereits 2012 statt – holt ihn jetzt jedoch ein. Accounts, mit deren Hilfe man auf Daten zugreifen kann, sind besonders wertvoll. So wird die Sicherung in der Cloud für Betroffene zum Desaster. Betroffen oder nicht? So findet ihr heraus!
Dropbox Hack fand bereits 2012 statt!
Ganze 68 Millionen Accountdaten haben die Hacker 2012 entwendet. Wären die Passwörter sicher gespeichert1, wären Nutzer nicht gezwungen ihre Passwörter zu ändern . Die Passwörter wurden zumindest nicht im Klartext gespeichert. Jedoch wurden lediglich die Hälfte der Passwörter nach heutigem Stand sicher verschlüsselt2. Ob sicher oder nicht – die Daten sind nicht mehr ausschließlich bei Dropbox gespeichert. Nutzer sollten an dieser Stelle aktiv werden und ihr Passwort ändern. So beugt man Stress und einem Identitätsdiebstahl vor.
Wie finde ich heraus, ob ich vom Dropbox Hack betroffen bin?
Die Website haveibeendpwned.com3 widmet sich Datenleaks. Will man herausfinden, ob die eigene Email von diversen Datenlecks betroffen ist, so kann man diese in die Suchleiste eintragen. Auch Nutzernamen kann man verwenden, falls man vielleicht Trashmails bei der einen oder anderen Website verwendet hat. Im besten Fall sieht die Nachricht wie folgt aus:
Etwas umfangreicher und kritischer ist die Meldung, wenn die eigene Email Adresse in den Datensätzen auftaucht.
Die Überprüfung bezieht sich jedoch längst nicht auf LinkedIn und Dropbox.
Potenziell könnt ihr also Opfer eines jeden einzelnen Dienstes sein. Die Liste4 der Websites, welche von einem Datendiebstahl betroffen sind, ist noch wesentlich umfangreicher. So einige Emails wurden auch schon durch die Datenbank gejagt.
Mein Fazit zum Dropbox Hack!
IT-Sicherheit ist kein zusätzliches Plus, welches man nach installieren kann. Die ganzen Datenlecks zeigen, das IT-Sicherheit ganzheitlich gesehen werden muss. Sicherheitsfunktionen ausschließlich im Nachhinein zu implementieren ist grob fahrlässig.
Bereits bei der Entwicklung sollten gängigste Basics, wie z.B. die sichere Speicherung von Passwörtern, berücksichtigt werden. Ein Datendiebstahl kann einem sonst in Zukunft zum Verhängnis werden. Mein Tipp an dieser Stelle: Passwort vom Dropbox, und jedem anderem betroffenen Account ändern! Vergesst nicht die Passwörter auch auf allen Devices und Clients zu korrigieren! Und ein eigener Cloudspeicher ist nicht unbedingt besser.
Ein besonderer Fall von Datenmissbrauch stellt übrigens das sogenannte Doxing dar. Opfer von dieser Angriffsmethode sind Anfang 2019 zahlreiche Politiker geworden. Der große Politiker Hack hat bundesweit für Aufmerksamkeit gesorgt.
Edit 27.08.2022: Im Bereich von Informationssicherheit ist Dropbox sehr aktiv geworden. Der Umzug der AWS Cloud auf eine eigene Infrastruktur hat unter anderem dafür gesorgt, dass die Notfallszenarien bis zum worst-case, nämlich dem Ausfall eines kompletten Rechenzentrums, durchgeprobt werden können.
Weitere Informationen und Quellen
[1] Check if you have an account that has beed compromised in data breach (haveIBeenPwned.com)
[2] Pwned Websites (haveIBeenPwned.com)
[3] Der Dropbox Hack im Jahr 2012 ist wirklich passiert (golem)
[4] Infografik: Password Hash einfach erklärt (technique-blog)