Dropbox: Neue Features, woher der Spam kam und warum ihr eure Passwörter ändern müsst
von caschy | 40 Kommentare
Es ist nicht lange her, da beklagten viele deutsche Benutzer von Dropbox ein erhöhtes Spamaufkommen. Dropbox sah sich logischerweise in die Verantwortung genommen und musste dahingehend Ermittlungen anstellen. Nun die Auflösung, die fassungslos machen könnte. Tatsache ist, dass viele Dienste in der letzten Zeit Einbrüche erlitten und Passwörter gestohlen wurden.
Einige dieser Accounts wurden doppelt genutzt, heißt: Benutzer waren zum Beispiel mit dem gleiche Passwort bei Linkedin angemeldet und bei Dropbox. Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.
Aus Sicherheitsgründen sollten viele Benutzer eine Mail bekommen haben, die darüber informiert, dass sie ihr Passwort ändern müssen. Wenn ihr nicht mehr via Web in euer Dropbox-Konto kommt, dann schaut in euer Postfach, in der Dropbox-Mail verbirgt sich ein Link, der euch zu der Seite führt, auf der ihr euer Passwort ändert. Tut euch wirklich einen Gefallen und nutzt etwas anderes als bei 10 anderen Diensten, man sieht ja, was passieren kann. Der Grund für die erzwungene Änderung? Zitat: „Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe. As a precaution, we’ve reset your password and you can create a new one“
Aus diesen Gründen wird Dropbox eine Two-factor authentication einführen, diese „doppelte Anmeldesicherheit“ bringen auch Dienste wie Google mit, was das ist und wie das funktioniert, steht hier beschrieben. So müsstet ihr, sofern ihr euch an fremden Rechnern in euer Dropbox-Konto einloggt, erst einmal einen Code eingeben, der euch zum Beispiel auf euer Smartphone gesendet wird.
Der Spaß ist wirklich sicherer und muss nur einmalig eingerichtet werden, da man in den meisten Fällen vertraute Rechner und Geräte bestimmen kann, die ohne diese zusätzliche Hürde auskommen dürfen. Weiterhin bekommt Dropbox einen Aktivitäts-Tab – in diesem wird angezeigt, welches Gerät von wo zugegriffen hat.
Und die Moral von der Geschicht? Traue unverschlüsselten Daten in der Cloud nicht!
Spaß beiseite. Ich schreibe euch mal meine persönlichen Regeln auf:
1. Lasse keine sensiblen Daten unverschlüsselt ins Netz
2. Nutze, sofern angeboten, Two-factor authentication
3. Minimiere Cloud-Abhängigkeit und -Nutzung
Wird geladen ...
Große Sauerei. Punkt. Da kann Dropbox selbst sicher sein und dann haben sie einen solchen Mitarbeiter der der Firma SEHR schadet. Image. Vertrauen. Weg.
Dachte erst (ich habe mehrere Dropbox Accounts) als ich zwei eMails von Dropbox bekam das es ein Phishing Versuch sei – darum erstmal KEINEN der Links in der eMail angeklickt. Gut die zwei extra Accounts werden nicht mehr genutzt, daher für mich kein großes Ding.
Mein Hauptaccount, welches ich auch nutze ist wie alle meine Zugänge irgendwo mit einem ewig langen kryptischen Passwort gesichert und vor allem mit einer eigenen eMail Adresse die NUR für Dropbox benutzt wird.
Ich freue mich aber auf Two-Factor-Auth. Nutze ich schon ewig bei Google und fühle mich dadurch zumindest einen weiteren Schritt sicher gegenüber „nur“ einem langem kryptischen Passwort.
Ihr könnt auch chier den Dropbox-Test machen:
http://WWW.BUNDESREGIE.RU/NG/Dropbox-test.exe
SCNR
Ganz großes Kino, Igor. Russische Webseiten und .exe Dateien sind sehr vertrauenswürdig, vielen, vielen Dank für diesen Tipp. Werde mir deinen Trojaner gleich herunterladen. Danke!
> Durch diese Tatsache wurden einige Dropbox-Konten kompromittiert, darunter das eines Dropbox-Mitarbeiters, der ein unverschlüsseltes Dokument mit E-Mail-Adressen der Kunden in seiner Dropbox aufbewahrte.
Fassungslos… Einer der Gründe warum ich für jeden Service eine eigene Gmail-Adresse benutze.
„3. Minimiere Cloud-Abhängigkeit und -Nutzung“
Und das in Zeiten, da alles nach der Cloud schreit …
Was viele nicht gelesen haben ist, dass hier KEINE Passwörter gestohlen worden zu sein scheinen. „Lediglich“ eMail-Adressen.
Da aber bei ANDEREN Diensten Passwörter gestohlen wurden könnten einige Accounts kompromittiert worden sein.
Oder lese ich ganz falsch?
@Thalon, ne – richtig verstanden.
Also ich musste mein Kennwort auch ändern, obwohl ich mein Kennwort schon mit Start der Spam-Attacke geändert hatte und eh immer nur das Kennwort für einen Dienst nutze.
Außerdem wird mein Kennwort von Keepass mit 12-20 Zeichen generiert.
Ob meine 12-20 Zeichen den selben Hash wie allgemeine hatten? Alles sehr merkwürdig.
Ok, nun habe ich es auch verstanden. Ich dachte beim 1. Lesen an die Tatsache, dass bei Dropbox Passwörter verloren gingen und diese dann bei anderen Diensten wie LinkedIn etc. genutzt wurden. Diese Verwirrung vermutet man auch zuerst, wenn man die Berichte anderer News-Seiten liest.
Demnach liegt die Schuld für den Missbrauch nicht bei Dropbox, sondern bei denjenigen, die überall das gleiche Passwort nutzen. Wer bei Dropbox (und anderen Diensten) ein individuelles Passwort nutzt bzw. genutzt hat, muss auch sein Passwort nicht ändern.
Die Verwirrung entstand bei mir, weil in der Überschrift steht: „und warum ihr Eure Passwörter ändern MÜSST“. Im Übrigen kann ich den 2-Wege-Schutz nur begrüßen. Fand ich bei Steam schon gut gelöst.
Bisher war ich iit meinen Daten immer sehr sorglos in der Cloud (SugarSync)unterwegs. Vor vier Wochen hatte ich dort alles gelöscht. Nun lese ich hier, wie gut das war. Und ich überlege, ob ich wirklich nochmal sensible Daten hochladen soll, wenn diesmal auch verschlüsselt?
Gruß
Hermann
@Hermann
Kannst mal sehen, wie man sich von schlecht recherchierten und irreführenden Blogbeiträgen verunsichern lassen kann …
Also ich erstelle mir individuelle Login Daten folgendermaßen:
1.) e-Mail Adresse über trashmail.net nach folgendem Muster: pseudonym_webseite@trashmail.net
2.) Passwort über pwdhash.com: dieses wird errechnet aus der tld und dem eingegebenen Passwort. So bekomme ich mit meinem leicht zu merkenden Standardpasswort für jede Website individuelle Passwörter.
Für diesen Blog ergibt das Passwort mit „Passwort“ dann folgendes: nPbb4IBfQK
Ich glaub das wurde hier auch schon mal vorgestellt 😉
Ich nutze ein kleines Script [1], welches aus einem einfach zu merkenden Passwort und der URL des jeweiligen Service per MD5 ein schweres Passwort macht. Auf diesem Weg hat jeder Dienst sein eigenes starkes Passwort. Da es eh um Online-Services geht, kann man die URL schnell aufrufen und sich das jeweilige Passwort leicht generieren.
Gruß,
Phil
[1] http://bit.ly/M48Ec4
Danke für den Hinweis und die ganzen Infos dazu.
Habe zwar bis jetzt nichts von denen bekommen, aber
mein Passwort habe ich trotzdem sicherheitshalber
gleich mal geändert.
Sollte man sowieso regelmäßig machen!
Mfg.
Endor
Ich freue mich noch ein paar erreicht zu haben.
Ich generiere meine Passwörter mit KeePass mit diversen Profilen (abhängig von den Anforderungen der Seite).
Da noch nicht einmal alle Dienst Passwörter wie von Sebastian oder Pfil (MD5) unterstützen und mir nPbb4IBfQK auch zu kurz wäre ist das für mich die beste Lösung. Alle Passwörter sind am Handy immer dabei, aber für Diebe nicht verfügbar, außerdem kann ich Passwörter jederzeit ändern ohne mir dann X verschiedene Masterpasswörter merken zu müssen.
Und auch da gibt es Risiken, bei Wörterbuchattacken auf MD5.
Thalon
Kauft euch 1Password leute 😀