Angeblicher Dropbox-Hack: 7 Millionen Account-Daten gestohlen

14. Oktober 2014 Kategorie: Backup & Security, geschrieben von: caschy

Das ist harter Tobak, wenn es denn stimmen sollte. Bei Reddit sind Links zu Listen gepostet worden, die Auszüge einer Datenbank enthalten sollen. Die Datenbank umfasst nach Angaben der Listen-Ersteller fast 7.000.000 Einträge. 7.000.000 Zugangsdaten zum Cloudspeicher Dropbox.

Dropbox

Einige Mitglieder von Reddit überprüften diese Listen und fanden heraus, dass es tatsächlich einige Zugänge gibt, die funktionieren. In den Listen bittet der Listen-Ersteller um Spenden via Bitcoin, dann wolle er weitere Listen ins Netz stellen. Dropbox selber hat mittlerweile ein Statement abgegeben, dass sie nicht gehackt worden seien.

Stattdessen sollen die Daten aus erfolgreichen Angriffen bei anderen Diensten stammen. Diese Daten seien genommen worden, um Zugriff auf Dropbox-Konten zu erhalten. Nach Aussagen von Dropbox habe man diese Aktivitäten wahrgenommen und ist dem nachgegangen. So soll Dropbox der große Teil der Passwörter nicht mehr funktionieren.

Was dies bedeutet: Wie häufig haben Menschen bei verschiedenen Diensten die gleiche Kombination aus Nutzernamen und Passwort verwendet, man ist ja ein Gewohnheitstier und auch zu faul, alles zu ändern. Kann man verstehen. Wird allerdings bei einem der Dienste erfolgreich eingebrochen, dann werden diese Daten auch genutzt, um andere Dienste zu überprüfen. Hat man die Daten aus XYZ, dann überprüft man die ja vielleicht auch gerne bei Amazon, eBay, PayPal, Gmail, Facebook und Co.

Vorsorge treffen

Deswegen: versucht möglichst unterschiedliche Passwörter bei den Diensten zu nutzen, diverse Passwort Manager bieten einen Generator dafür an, alternativ gibt es noch die SS64-Methode. Nutzt diese Passwort Manager auch, von kostenlos bis kostenpflichtig ist alles dabei. Aktiviert auch die Zwei-Faktor-Authentifizierung, sofern machbar.

Eine weitere Alternative ist Have i been pwned? Die Seite schaut, ob eure Mail-Adresse irgendwo in einem Datenleck auftauchte und verrät wo, zudem kann man sich eine Alarmmail schicken lassen, wenn die eigene Adresse bei Diensten wie Pastebin auftaucht. Welche Dienste die Zwei-Faktor-Authentifizierung unterstützen, ist hier zu lesen.



Quelle: Reddit |
Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22137 Artikel geschrieben.

33 Kommentare

Carsten 14. Oktober 2014 um 08:01 Uhr

Ich versuche schon immer, meinen Mitmenschen die Vorzüge von Passwort-Managern schmackhaft zu machen.

Resultat: Ich bin paranoid. Ganz nach dem Motto „mir passiert sowas nicht“.

kingduevel 14. Oktober 2014 um 08:05 Uhr

Falls jemand noch nicht auf diese Idee gekommen ist…
Meine Passwörter sind grundsätzlich nach einem Schema aufgebaut. Beispiel:

Ich merke mir: Das ist mein Passwort für: Amazon!911
Mein Passwört wäre dann: DimPf:Amaz!911

Super einfach für jeden Dienst zu merken und dabei noch relativ sicher.

Manu 14. Oktober 2014 um 08:06 Uhr

Aber was passiert denn, wenn mal die Datei des Passwortmanagers abhanden kommt? Ist das denn wirklich empfehlenswert, alle Passwörter in einer (ok, verschlüsselten) Datei zu speichern? Wer weiß ob es da nicht auch eine Lücke gibt…

Stefan 14. Oktober 2014 um 08:11 Uhr

Ich habe eine eigene Domain und nutze dort die catch-all-Adresse, um für jede Website eine eigene E-Mail-Adresse zu haben. Bisher funktioniert das ganz gut.

Steve H. 14. Oktober 2014 um 08:17 Uhr

Also ich hab für meine Passwörter auch ein System wo ich verschiedene Elemente modular aufbaue. So kann ich anhand meines Passwortes auch gleich den entsprechenden Dienst erkennen. 🙂

Beispiel:
Dienst: StadtBremerhaven (Wort/Beschreibung/Abkürzung von Dienst wo man anmeldet)
Keywort: einfachzumerken (Ein Universalpasswort, was man sich hat merken muss)
Benutzer: Steve (Wem gehört das Passwort)

Aufbau: !#
Passwort:-Ergebnis: einfachzumerken!StadtBremerhaven#Steve

Wenn man nun die entsprechenden Worte noch mit korrekter Gross-/Kleinschreibung verwendet und zwischendrin die Sonderzeichen zum Trennen nimmt, bekommt man schon ein recht laaaaaaanges und recht sicheres Passwort.

Gruss Steve

Carsten Knobloch 14. Oktober 2014 um 08:20 Uhr

@Steve: Und dann auch:

einfachzumerken!eBay#Steve
einfachzumerken!Amazon#Steve

? 😉

Günxmürfel 14. Oktober 2014 um 08:20 Uhr

Ich mache es genauso wie Stefan. Für jede Anmeldung eine andere Emailadresse mittels catchall und ein zufüllig generiertes Passwort mit Lastpass.

Flo 14. Oktober 2014 um 08:36 Uhr

ich mach auch Catch-All auf meiner Domain 🙂 dann ist die eMail Adresse nur für den Dienst/das Forum da … passt also bei keiner anderen Seite

Matze.B 14. Oktober 2014 um 08:47 Uhr

@Carsten genau das höre ich auch oft: ‚wieso funktioniert doch und bisher ist noch nieeee was passiert‘. Die selben Leute machen aber einen großen Bogen um Onlinebanking – aus purer Ahnungslosigkeit: ‚da hört man ja immer wieder das soll total unsicher sein‘

Dietmar Kolbig 14. Oktober 2014 um 08:52 Uhr

Für mich gilt, seperater Stick mit Passwortmanager und dann für alle Dienste andere Passwörter. Dazu , wenn es angeboten wird, die Anmeldung in zwei Schritten.
Solange es noch sicher ist. Irgendwann knn man nur noch Kartoffeln lagern 😉

HDScurox 14. Oktober 2014 um 09:27 Uhr

Da bei pwnd eine meiner email Adressen auftaucht und zwar die welche ich nur bei Dropbox verwende gehe ich von einem Dropbox hack aus

San 14. Oktober 2014 um 09:32 Uhr

Also ob das nun alles Zugänge sind die ‚Mehrfach‘ Passwörter eingerichtet haben steht doch erstmal so nicht konkret fest: das ist eine Vermutung. Die Quelle oder den Herausgeber der kompletten Nachricht kenne ich nicht, vielleicht steht da noch etwas anderes. Würde eher auf User die Dropbox nuten, die eben kein doppeltes Passwort für diesen Dienst nutzen. Wie auch immer: ich nutze schon länger einen Passwort Manager und habe im Zuge dieser kompletten Umstellung alle Passwörter geändert. Auch dort passierte es, genauer bei ebay passierte es, dass ich wenig später zu einem neuen Passwort aufgefordert wurde. Bei meiner Freundin ähnlich vor ein paar Wochen bei web.de passiert: Sie konnte über Thunderbird keine Mails mehr senden. Es musste ein neues Passwort bei web.de hinterlegt werden und das 2x innerhalb weniger Tage. Trotz PW Manager!
Ja, Passwortmanager bringen etwas, das Allheilmittel für alles sicherlich nicht. Leider!
– Mich bestärkt leider auch dieser Blogeintrag in das Vertrauen gegenüber der ‚Cloud‘. Nämlich gar keins.

friddes 14. Oktober 2014 um 09:36 Uhr

Ich nutze „Roboform EveryWhere“ -kostenpflichtig- seit etwa 4 Jahren. Damals war ich selber betroffen (aber kein Opfer) eines -wie oben beschriebenen- Hacks. Seitdem ist bei mir jedes Passwort anders (Passwort-Generator ist bei Roboform integriert – gibt es aber ebenfalls kostenlos im Netz). Man kann aber auch KeyPass(X) verwenden, das ist nicht ganz so komfortabel wie Roboform, aber kostenlos.
Ich „merke“ mir aber jedes (generierte) Passwort in einer extra gesicherten Text-Datei. Es hilft alles nichts, es kann immer alles passieren. Es gab sogar mal einen Tipp, man solle seine (verschlüsselten) Daten ausgedruckt in einem Safe („sicherer Platz“) verwahren – für den Fall der Fälle (ist wohl etwas übertrieben).

Florian P. (@benderbot) 14. Oktober 2014 um 09:48 Uhr

Also laut Dropbox-Blog wurden sie nicht gehackt: https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/ – 2 Faktor Authentifizierung und Boxcryptor rate ich aber trotzdem jedem 😉

Carsten Knobloch 14. Oktober 2014 um 09:50 Uhr

@Florian: Gut aufgepasst – deshalb doch auch oben im Text 😉

Thalon 14. Oktober 2014 um 09:51 Uhr

@friddes
Weshalb ist KeePass nicht so komfortabel wie Roboform?
Via Browser-Plugin kann ich die Passwörter auch direkt hinterlegen und habe die Auswahl das zu unterbinden indem ich die Datenbank sperre (interessant für die komfortable Verwendung auf einem Tablet, das auch unterwegs mit ist).

Iruwen 14. Oktober 2014 um 10:30 Uhr

KeePass ist durch die Plugins und Scriptingmöglichkeiten wohl das mächtigste Tool. Was allerdings etwas zu Lasten der Benutzerfreundlichkeit geht.

Torsten 14. Oktober 2014 um 11:09 Uhr

für jeden, der kein eigenen Mailserver hat und beliebig viele Adressen generieren kann, empfehle ich spamgourmet.com, von daher ist mir der evtl Dropboxhack egal. Separate Email bei spamgourmet, separates PW nach Aufbau wie kingduevel oder Steve (und dann auch noch nur unwichtige Daten auf der Dropbox)

lil'kay 14. Oktober 2014 um 11:12 Uhr

Mittlerweile bevorzuge ich persönlich die methode via http://www.passwordcard.org/

Es ist zwar nicht ganz so komfortabel wie mit irgendwelchen plugins oder passwort-managern, aber imho sicherer. Das Passwort setzt sich dann aus dem Pfad zwischen Einstiegs- und Endpunkt zusammen. Je nach Webservice kann man ja komplett variabel sein und somit ein einzigartiges Muster aufbauen.

Da Sie nicht größer als eine cc ist, habe ich sie auch immer in meiner geldbörse dabei. Wenn die passwordcard mal abhanden kommt…wayne…anfangen kann damit ehh keiner was, außer er kennt meine logik…und außerdem habe ich dann ganz andere probleme, denn meine geldbörse ist dann höchstwahrscheinlich ebenfalls weg 🙂

Für ein privates backup der passwordcard reicht es vollkommen aus sie entweder ein paar mal auszudrucken oder mithilfe der uid-number die karte neu generieren zu lassen.
Wovon ich aber abraten würde, denn was macht man wenn die seite mal down geht…

gugelugu 14. Oktober 2014 um 11:26 Uhr

ich traue den Passwortmanagern nicht. Irgendwann kommt auf reddit ne Liste mit diesen Passwörtern. Allerdings finde ich die idee mit verschiedenen emailadressen sehr gut. ich gehe übrigens anders vor (auch wenn nicht sehr sicher): ich benutze/merke mir 4 passwörter, diese benutze ich eben seit 20 jahren überall. für jeden dienst, der überhaupt nicht besonders wichtig ist: das 9 stellige einfache standardpasswort (ein buchstabe, eine comicfigur und eine 3 stellige nr am ende). für wichtigeres aber nicht sensibles: ein 11 stelliges gemerktes passwort (war mal ne bankkontonummer plus nen buchstaben) und für zugangsdaten nehme ich das gleiche 11 stellige PW allerdings mit dem dienst davor. und wenn etwas extrem heikel ist (verbotenes auf der HD und so, kennt man ja) dann nehme ich einfach das 11 stellige passwort 3x hintereinander… unknackbar, es sei denn es gibt hintertüren (die es ja anscheinend eh überall gibt)

ein Nutzer 14. Oktober 2014 um 11:29 Uhr

Also diese Variante mit X!blaDIENSTNAME#irgendwas und das für alle Dienste die man verwendet ist ja das Cleverste, was ich je gelesen habe. NICHT. Dann probiert man alle großen Dienste damit einfach mal durch und f*ckt den jenigen so richtig. Denkt doch mal nach bevor ihr was für intelligent haltet.

Dropbox war noch nie zu wirklich sicher. Zudem der bekannteste Cloudspeicher und damit Ziel Nr. 1 für Angreifer. Nutze es zwar aus Gründen der weitreichenden Kompatibilität auch, aber für 98% der Daten nur mit Boxcryptor und zusätzlich 2-Step-Auth. Das bringt nämlich wirklich was.

submac 14. Oktober 2014 um 11:47 Uhr

Für jeden Login gibt’s bei mir ein anderes Passwort. Ok, mit System – kommt einer dran, könnte er ableiten. Meine Daten habe ich in zwei Textdateien. In der ersten sind die Daten zu Shops, bei denen ich meine Zahlungsbedingungen habe. Die Datei liegt lokal auf einem Server in nem Boxcryptor Container. Die Daten habe ich zwar im Kopf, könnte aber per Teamviewer drauf und den Container per Passwort öffnen. In der zweiten Datei sind die Daten von Shops ohne hinterlegte Zahlungsbedingungen. Die Datei ist auch in einem Boxcryptor Container und wird per Dropbox auf mein Telefon synchronisiert. Die Schwachstelle bei mir sehe ich im System wie ich die Passwörter generiere. Die hier genannten Tools zur Passwortvergabe schaue ich mir mal an, da bin ich aus Unwissenheit noch sehr skeptisch.

Thomas Joa 14. Oktober 2014 um 12:59 Uhr

was nützt das sicherste Passwort wenn man es „dritten“ freiwillig gibt und diese es unverschlüsselt weiter verwenden. als promi-beispiel facebook, da gibt es doch auch so eine tolle funktion wo man seine ganzen zugangsdaten seiner emailpostfächer eingeben kann und facebook „klaut“ sich dann damit die ganzen kontaktdaten weil der User ja zu faul ist alles selbst per hand zu machen. gleiches prinzip gibts auch bei vielen apps mit ihren sharing und backup funktionen wo man schön seine zugangsdaten hinterlegen kann.
Wenn die Hauptdienste schon nicht fähig sind alle daten zu verschlüsseln wird es solch eine 0815 Hinterhof-App Entwickler Firma erst recht nicht manchen.

gerald 14. Oktober 2014 um 13:49 Uhr

@gugelugu:
Du hältst dein „System“ für „unknackbar“ – selbst nach Lesens des Artikels? OooKay.

jmk 14. Oktober 2014 um 13:59 Uhr

aus dem Grund setzt sich dieses Internet nicht durch

Thalon 14. Oktober 2014 um 14:03 Uhr

@gugelugu
Bevor ich so ein System übernehme verwende ich wirklich lieber einen PW-Manager, der die Dateien lokal ablegt. Es liegen ja nicht überall die Passwörter bei irgendwelchen Diensten in der Cloud.
Mit einem ordentlichen Master-Passwort (und damit meine ich nicht popelige 10 Zahlen und 1 Buchstaben) muss man schon sehr viel Zeit und Energie aufwenden um das zu entschlüsseln.

Und nach deinem System reicht 1 Sicherheitslücke bei einem Online-Dienst aus um Zugriff auf viele Dienste zu erhalten.
Ein Paradebeispiel wie mans nicht machen soll und weshalb Artikel wie dieser nötig sind.

Leider betrachten viele nur den Text und lesen ihn nicht.

Sören Hentzschel 14. Oktober 2014 um 16:30 Uhr

„Wie häufig haben Menschen bei verschiedenen Diensten die gleiche Kombination aus Nutzernamen und Passwort verwendet, man ist ja ein Gewohnheitstier und auch zu faul, alles zu ändern. Kann man verstehen.“

Also ich kann das absolut nicht verstehen, das ist einfach sowas von selbst verschuldet, wenn einem dadurch ein Schaden entsteht, womöglich sogar ein finanzieller Schaden. Ich meine, ich weiß, dass viele das so handhaben und verständlich ist, dass man sich nicht unbedingt für jede Webseite ein anderes Passwort merken kann, welches zudem ein gewisses Sicherheits-Niveau mitbringt, aber Browser bieten das Merken der Passwörter an und damit gibt es keine Ausrede. Es ist einfach unglaublich naiv, überall das gleiche Passwort zu verwenden. Und wie andere ja schon angedeutet haben, kann man sich auch einfach ein Schema merken und aus diesem Passwörter für verschiedene Dienste konstruieren. Dann muss man sich nicht viel mehr als dieses Schema merken, was nicht nennenswert schwieriger sein dürfte als sich ein einzelnes Passwort zu merken, das geht dann auch ohne Passwort-Manager, der meistens wahrscheinlich sowieso mehr als Komfort-Feature dient als wirklich als Merkhilfe, vermute ich. Das Schema sollte man dann natürlich nicht weitersagen. Hundertprozentige Sicherheit gibt es eh nicht, aber man kan die Sicherheit doch schon mit sehr einfachen Mitteln sehr stark erhöhen.

Pietz 15. Oktober 2014 um 00:02 Uhr

ein großes danke an alle für den tipp mit der catch all domain. ich komme mir so blöd vor, nicht selber darauf gekommen zu sein -_- jetzt nochmal mein senf zur sicherheitsnummer:

Die Sicherheit die ein jeder im Netz haben möchte steht immer in Balance mit dem Aufwand der damit verbunden ist. Damit meine ich vor allem den regelmäßigen Aufwand. Jeder muss für sich selber wissen wie viel Aufwand ihm seine Sicherheit bei verschiedenen Seiten wert ist. Ich denke unterschiedliche Passwörter zu nehmen, die man nach Prinzipien aufbaut, die hier in den Kommentaren bereits beschrieben wurden, sind ein Mehraufwand den jeder gehen sollte.

Alles darüber hinaus macht bedingt Sinn, aber wie gesagt: Geschmäcker sind verschieden. Ich habe eine 2-Faktor-Authentifizierung bei Google, weil dort relativ viele Sachen zusammenlaufen: Mail, Kalendar, Kontakte, Drive… aber ob ich nun wirklich jedes mal auf mein Handy gucken will wenn ich mich bei facebook einlogge? Ich denke nicht. Dann sollen die Hacker meinen Account nehmen, blaue Gummidildos liken und dort mit meiner Freundin Schluss machen. Das lässt sich alles verkraften oder erklären, denke ich.

Florian 15. Oktober 2014 um 00:10 Uhr

Wer noch auf der Suche nach einem weiteren System ist, dem kann sich Folgendes anschauen und es nach eigenen Wünschen ausbauen oder die Reihenfolge ändern:

###ddddddeeeeE000

Erklärung:
### = drei festdefinierte Sonderzeichen hintereinander (da einige Anbieter danach verlangen).

dddddd = Dienstname (z.B. ebay oder amazon oder gmail)

eeeeE = Eigenes festdefiniertes Wort. Den letzten Buchstaben oder einen beliebigen innerhalb dieses Wortes schreibt ihr immer gross (Da einige Anbieter nach Grossbuchstaben verlangen).

000 = scheinbar zufällige Zahl. Dahinter steckt folgende Logik: Ihr zählt nun die Anzahl der Buchstaben aus Dienstname+festdefiniertes Wort zusammen und multipliziert zum Beispiel mit einem festdefinierten Multiplikator z.b. „2“ und setzt noch eine weitere festdefinierte Zusatzzahl vor der zuvor errechneten Zahl dazu.

Wenn wir uns nun alle festdefinierten Parameter merken: Wort (z.B. tigeR), Multiplikator (z.b 2), Zusatzzahl 4 und die Sonderzeichen (z.B. #&#) und in der richtigen Reihenfolge zusammensetzen, dann ergibt sich folgendes individuelle Passwort für beispielsweise amazon und ebay:

#&#amazontigeR422

bei ebay:
#&#ebaytigeR418

Da der Multiplikator zunächst einmal keinem Bekannt ist und auch nicht unbedingt aus dem Passwort klar ersichtlich ist, ist dieses Passwort ein relativ sicheres Passwort, dazu noch individuell für jede Seite/Internetdienst und dazu noch aus dem Kopf jederzeit und überall abrufbar. Ihr könnt natürlich auch andere Multiplikatoren und/oder Parameter festlegen.

Thalon 15. Oktober 2014 um 06:42 Uhr

@Florian
Solche Systeme haben aber auch den Nachteil, dass sie nicht bei allen Diensten funktionieren.
Manche mögen keine Sonderzeichen, bei manchen ist die Maximallänge so kurz, dass es sich nicht ausgeht, wieder andere verlangen eine regelmäßige Änderung des Kennworts.
Weitere haben ein 2-stufiges Anmeldesystem oder schreiben das Kennwort vor.

Wenn man es verwendet kann man für den Dienstnamen auch nur jeden 2. Buchstaben nehmen. Bei Amazon zB mzn

Florian 15. Oktober 2014 um 16:21 Uhr

Thalon, da magst Du sicherlich Recht haben. Aber, das System funktioniert derzeit sehr gut mit allen grossen Anbietern (gmail, amazon, microsoft, apple, evernote, Facebook, gmx, web.de, usw.). Wenn Passwörter geändert werden sollen, dann kann in einem Zug gleich alle Anbieter erneuern. Hierzu einfach den Multiplikator und/oder die Sonderzeichen abändern und ab dann nur noch die neuen Parameter merken.

Thalon 15. Oktober 2014 um 18:04 Uhr

@Florian
Gut, für eine überschaubare Anzahl an Passwörtern (wie sie wohl die meisten haben) ist das das beste System das ich bisher gelesen habe.
Ab einer gewissen Anzahl kommt man IMHO aber nicht mehr um einen PW-Manager herum (ich habe aktuell 197 Einträge für mich privat, beruflich kommen auch noch eine Menge hinzu).
Da fällt mir auf, ich könnte wieder mal etwas ausmisten 🙂

Florian 16. Oktober 2014 um 20:35 Uhr

@Thalon: Für die Arbeit einfach anderen Multiplikator und/oder Parameter auswählen. Der Multiplikator kann beispielsweise auch x2-1 oder +3*2.
Die Sonderzeichen kann man von 3 auf 2 oder 1 reduzieren. Das definierte Wort kann auch auf 2 oder 3 Buchstaben reduziert werden. So wäre das Passwort nochmals kürzer und durch einen raffinierten Multiplikator dennoch sehr sicher und für alle Anforderungen passend.
Meine Empfehlung: Schaut auf Eure Handytastatur was ihr mit wenigen Klicks und wenigem Umschalten schnell eintippen könnt. Ändert dazu evtl. die Reihenfolge der Parameter. Dann könnt ihr auch mobil die Passwörter schnell eintippen.


Kommentar verfassen



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.