Angeblicher Dropbox-Hack: 7 Millionen Account-Daten gestohlen

Das ist harter Tobak, wenn es denn stimmen sollte. Bei Reddit sind Links zu Listen gepostet worden, die Auszüge einer Datenbank enthalten sollen. Die Datenbank umfasst nach Angaben der Listen-Ersteller fast 7.000.000 Einträge. 7.000.000 Zugangsdaten zum Cloudspeicher Dropbox.

Dropbox

Einige Mitglieder von Reddit überprüften diese Listen und fanden heraus, dass es tatsächlich einige Zugänge gibt, die funktionieren. In den Listen bittet der Listen-Ersteller um Spenden via Bitcoin, dann wolle er weitere Listen ins Netz stellen. Dropbox selber hat mittlerweile ein Statement abgegeben, dass sie nicht gehackt worden seien.

Stattdessen sollen die Daten aus erfolgreichen Angriffen bei anderen Diensten stammen. Diese Daten seien genommen worden, um Zugriff auf Dropbox-Konten zu erhalten. Nach Aussagen von Dropbox habe man diese Aktivitäten wahrgenommen und ist dem nachgegangen. So soll Dropbox der große Teil der Passwörter nicht mehr funktionieren.

Was dies bedeutet: Wie häufig haben Menschen bei verschiedenen Diensten die gleiche Kombination aus Nutzernamen und Passwort verwendet, man ist ja ein Gewohnheitstier und auch zu faul, alles zu ändern. Kann man verstehen. Wird allerdings bei einem der Dienste erfolgreich eingebrochen, dann werden diese Daten auch genutzt, um andere Dienste zu überprüfen. Hat man die Daten aus XYZ, dann überprüft man die ja vielleicht auch gerne bei Amazon, eBay, PayPal, Gmail, Facebook und Co.

Vorsorge treffen

Deswegen: versucht möglichst unterschiedliche Passwörter bei den Diensten zu nutzen, diverse Passwort Manager bieten einen Generator dafür an, alternativ gibt es noch die SS64-Methode. Nutzt diese Passwort Manager auch, von kostenlos bis kostenpflichtig ist alles dabei. Aktiviert auch die Zwei-Faktor-Authentifizierung, sofern machbar.

Eine weitere Alternative ist Have i been pwned? Die Seite schaut, ob eure Mail-Adresse irgendwo in einem Datenleck auftauchte und verrät wo, zudem kann man sich eine Alarmmail schicken lassen, wenn die eigene Adresse bei Diensten wie Pastebin auftaucht. Welche Dienste die Zwei-Faktor-Authentifizierung unterstützen, ist hier zu lesen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

33 Kommentare

  1. Ich versuche schon immer, meinen Mitmenschen die Vorzüge von Passwort-Managern schmackhaft zu machen.

    Resultat: Ich bin paranoid. Ganz nach dem Motto „mir passiert sowas nicht“.

  2. Falls jemand noch nicht auf diese Idee gekommen ist…
    Meine Passwörter sind grundsätzlich nach einem Schema aufgebaut. Beispiel:

    Ich merke mir: Das ist mein Passwort für: Amazon!911
    Mein Passwört wäre dann: DimPf:Amaz!911

    Super einfach für jeden Dienst zu merken und dabei noch relativ sicher.

  3. Aber was passiert denn, wenn mal die Datei des Passwortmanagers abhanden kommt? Ist das denn wirklich empfehlenswert, alle Passwörter in einer (ok, verschlüsselten) Datei zu speichern? Wer weiß ob es da nicht auch eine Lücke gibt…

  4. Ich habe eine eigene Domain und nutze dort die catch-all-Adresse, um für jede Website eine eigene E-Mail-Adresse zu haben. Bisher funktioniert das ganz gut.

  5. Also ich hab für meine Passwörter auch ein System wo ich verschiedene Elemente modular aufbaue. So kann ich anhand meines Passwortes auch gleich den entsprechenden Dienst erkennen. 🙂

    Beispiel:
    Dienst: StadtBremerhaven (Wort/Beschreibung/Abkürzung von Dienst wo man anmeldet)
    Keywort: einfachzumerken (Ein Universalpasswort, was man sich hat merken muss)
    Benutzer: Steve (Wem gehört das Passwort)

    Aufbau: !#
    Passwort:-Ergebnis: einfachzumerken!StadtBremerhaven#Steve

    Wenn man nun die entsprechenden Worte noch mit korrekter Gross-/Kleinschreibung verwendet und zwischendrin die Sonderzeichen zum Trennen nimmt, bekommt man schon ein recht laaaaaaanges und recht sicheres Passwort.

    Gruss Steve

  6. @Steve: Und dann auch:

    einfachzumerken!eBay#Steve
    einfachzumerken!Amazon#Steve

    ? 😉

  7. Günxmürfel says:

    Ich mache es genauso wie Stefan. Für jede Anmeldung eine andere Emailadresse mittels catchall und ein zufüllig generiertes Passwort mit Lastpass.

  8. ich mach auch Catch-All auf meiner Domain 🙂 dann ist die eMail Adresse nur für den Dienst/das Forum da … passt also bei keiner anderen Seite

  9. @Carsten genau das höre ich auch oft: ‚wieso funktioniert doch und bisher ist noch nieeee was passiert‘. Die selben Leute machen aber einen großen Bogen um Onlinebanking – aus purer Ahnungslosigkeit: ‚da hört man ja immer wieder das soll total unsicher sein‘

  10. Für mich gilt, seperater Stick mit Passwortmanager und dann für alle Dienste andere Passwörter. Dazu , wenn es angeboten wird, die Anmeldung in zwei Schritten.
    Solange es noch sicher ist. Irgendwann knn man nur noch Kartoffeln lagern 😉

  11. Da bei pwnd eine meiner email Adressen auftaucht und zwar die welche ich nur bei Dropbox verwende gehe ich von einem Dropbox hack aus

  12. Also ob das nun alles Zugänge sind die ‚Mehrfach‘ Passwörter eingerichtet haben steht doch erstmal so nicht konkret fest: das ist eine Vermutung. Die Quelle oder den Herausgeber der kompletten Nachricht kenne ich nicht, vielleicht steht da noch etwas anderes. Würde eher auf User die Dropbox nuten, die eben kein doppeltes Passwort für diesen Dienst nutzen. Wie auch immer: ich nutze schon länger einen Passwort Manager und habe im Zuge dieser kompletten Umstellung alle Passwörter geändert. Auch dort passierte es, genauer bei ebay passierte es, dass ich wenig später zu einem neuen Passwort aufgefordert wurde. Bei meiner Freundin ähnlich vor ein paar Wochen bei web.de passiert: Sie konnte über Thunderbird keine Mails mehr senden. Es musste ein neues Passwort bei web.de hinterlegt werden und das 2x innerhalb weniger Tage. Trotz PW Manager!
    Ja, Passwortmanager bringen etwas, das Allheilmittel für alles sicherlich nicht. Leider!
    – Mich bestärkt leider auch dieser Blogeintrag in das Vertrauen gegenüber der ‚Cloud‘. Nämlich gar keins.

  13. Ich nutze „Roboform EveryWhere“ -kostenpflichtig- seit etwa 4 Jahren. Damals war ich selber betroffen (aber kein Opfer) eines -wie oben beschriebenen- Hacks. Seitdem ist bei mir jedes Passwort anders (Passwort-Generator ist bei Roboform integriert – gibt es aber ebenfalls kostenlos im Netz). Man kann aber auch KeyPass(X) verwenden, das ist nicht ganz so komfortabel wie Roboform, aber kostenlos.
    Ich „merke“ mir aber jedes (generierte) Passwort in einer extra gesicherten Text-Datei. Es hilft alles nichts, es kann immer alles passieren. Es gab sogar mal einen Tipp, man solle seine (verschlüsselten) Daten ausgedruckt in einem Safe („sicherer Platz“) verwahren – für den Fall der Fälle (ist wohl etwas übertrieben).

  14. Also laut Dropbox-Blog wurden sie nicht gehackt: https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/ – 2 Faktor Authentifizierung und Boxcryptor rate ich aber trotzdem jedem 😉

  15. @Florian: Gut aufgepasst – deshalb doch auch oben im Text 😉

  16. @friddes
    Weshalb ist KeePass nicht so komfortabel wie Roboform?
    Via Browser-Plugin kann ich die Passwörter auch direkt hinterlegen und habe die Auswahl das zu unterbinden indem ich die Datenbank sperre (interessant für die komfortable Verwendung auf einem Tablet, das auch unterwegs mit ist).

  17. KeePass ist durch die Plugins und Scriptingmöglichkeiten wohl das mächtigste Tool. Was allerdings etwas zu Lasten der Benutzerfreundlichkeit geht.

  18. für jeden, der kein eigenen Mailserver hat und beliebig viele Adressen generieren kann, empfehle ich spamgourmet.com, von daher ist mir der evtl Dropboxhack egal. Separate Email bei spamgourmet, separates PW nach Aufbau wie kingduevel oder Steve (und dann auch noch nur unwichtige Daten auf der Dropbox)

  19. Mittlerweile bevorzuge ich persönlich die methode via http://www.passwordcard.org/

    Es ist zwar nicht ganz so komfortabel wie mit irgendwelchen plugins oder passwort-managern, aber imho sicherer. Das Passwort setzt sich dann aus dem Pfad zwischen Einstiegs- und Endpunkt zusammen. Je nach Webservice kann man ja komplett variabel sein und somit ein einzigartiges Muster aufbauen.

    Da Sie nicht größer als eine cc ist, habe ich sie auch immer in meiner geldbörse dabei. Wenn die passwordcard mal abhanden kommt…wayne…anfangen kann damit ehh keiner was, außer er kennt meine logik…und außerdem habe ich dann ganz andere probleme, denn meine geldbörse ist dann höchstwahrscheinlich ebenfalls weg 🙂

    Für ein privates backup der passwordcard reicht es vollkommen aus sie entweder ein paar mal auszudrucken oder mithilfe der uid-number die karte neu generieren zu lassen.
    Wovon ich aber abraten würde, denn was macht man wenn die seite mal down geht…

  20. ich traue den Passwortmanagern nicht. Irgendwann kommt auf reddit ne Liste mit diesen Passwörtern. Allerdings finde ich die idee mit verschiedenen emailadressen sehr gut. ich gehe übrigens anders vor (auch wenn nicht sehr sicher): ich benutze/merke mir 4 passwörter, diese benutze ich eben seit 20 jahren überall. für jeden dienst, der überhaupt nicht besonders wichtig ist: das 9 stellige einfache standardpasswort (ein buchstabe, eine comicfigur und eine 3 stellige nr am ende). für wichtigeres aber nicht sensibles: ein 11 stelliges gemerktes passwort (war mal ne bankkontonummer plus nen buchstaben) und für zugangsdaten nehme ich das gleiche 11 stellige PW allerdings mit dem dienst davor. und wenn etwas extrem heikel ist (verbotenes auf der HD und so, kennt man ja) dann nehme ich einfach das 11 stellige passwort 3x hintereinander… unknackbar, es sei denn es gibt hintertüren (die es ja anscheinend eh überall gibt)

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.