Sonstiges

Hacker erbeuten Millionen von Dropbox-Passwörtern – Diese Maßnahmen sollte man jetzt ergreifen

dropbox

Der Cloudspeicher Dropbox wurde zwar nicht direkt gehackt, trotzdem befinden sich angeblich sieben Millionen Nutzerdaten in den Händen von Hackern. Noch sind keine großen Schäden bekannt. Allzu cool sollte man jetzt trotzdem nicht bleiben und deswegen ein paar Sicherheitsmaßnahmen ergreifen.

Die aktuellen Infos zum vermeintlichen Dropbox-Hack

Wie verschiedene Webseiten – ganz vorne mit dabei „The Next Web“ – berichten, sind gehackte Dropbox-Zugangsdaten im Netz. Hacker haben 400 Nutzernamen und Passwörter veröffentlicht, bis zu sieben Millionen sollen sich in ihrem Besitz befinden.

Die Daten stammen nicht aus einem direkten Dropbox-Hack. Den weist das Cloudspeicher-Unternehmen in einem offiziellen Statement von sich. Stattdessen sollen die Account-Infos aus anderen Hacks zusammen gekommen sein. Da viele Menschen die gleichen Zugangsdaten für verschiedene Dienste verwenden, sind diese auch für Dropbox nutzbar. Die Hacker haben somit die Bequemlichkeit der User zu ihrem Vorteil genutzt.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Wer wissen möchte, ob er zu den derzeit Betroffenen gehört, findet das auf haveibeenpwned.com heraus. Wer seine Daten in Zukunft nicht manuell prüfen will, kann sich in einen „Notify Me“-Verteiler eintragen, um automatisch informiert zu werden.

So sollte man jetzt handeln

Neben der sofortigen Änderung des Passworts rät Dropbox zusätzlich, die zweistufige Überprüfung zu aktivieren. Hierzu wird eine weitere Sicherheits-Ebene eingeführt, in der man zusätzlich einen 16-stelligen Zugangscode erhält und danach einen sechsstelligen PIN, den man via SMS oder App bekommt, eingeben muss. Wie man die zweistufige Überprüfung aktiviert, wird auf dieser offiziellen Dropbox-Seite im Detail erklärt.

Egal, ob betroffen oder nicht: Alle Internet-Nutzer sollten den Hack ernst nehmen und mal wieder über das Thema Sicherheit nachdenken. Deswegen ist es ratsam, sich bei jedem Dienst ein eigenes, sicheres Passwort zuzulegen. So minimiert man den Schaden bei Hacks wie diesem.

Bild: Dropbox

Über den Autor

Jürgen Kroder

Jürgen bezeichnet sich als Blogger, Gamer, Tech-Nerd, Autor, Hobby-Fotograf, Medien-Junkie, Kreativer und Mensch. Er hat seine unzähligen Hobbies zum Beruf gemacht. Und seinen Beruf zum Hobby. Obwohl er in Mainz wohnt, isst er weiterhin gerne die Maultaschen aus seiner Heimat.

9 Kommentare

  • Genau vor einem Monat habe ich diesen Artikel über Schutzmaßnahmen verfasst, und lustigerweise ist heute tatsächlich wieder Dienstag: http://www.eclectide.com/blog/2014/09/14/another-password-leak-oh-must-tuesday/

    Es ist traurig, dass sich die Menschen erst nach einem Angriff um die Sicherheit ihrer Konten kümmern (oder eben auch nicht). Die Zwei-Wege-Authentifizierung existiert bei Dropbox schon länger, und solange gleiche Passwörter für verschiedene Accounts verwendet werden, wird es nächste Woche wieder eine neue Meldung geben, weil man genau die gleichen Passwortkombinationen für XYZ nochmal ausprobiert (was sicherlich bereits geschehen ist). Ich weiß, dass meine Dropbox-Daten vor diesem Angriff (und jedem anderen reinen Passwortangriff) sicher sind, selbst wenn ich das Passwort nicht ändern würde.

  • haveibeenpwned.com

    Ich würde hier nicht meine Adresse testen!

    Wer ist der Inhaber dieser Seite?

    Domain Name: HAVEIBEENPWNED.COM
    Registry Domain ID: 1835276268_DOMAIN_COM-VRSN
    Registrar WHOIS Server: whois.enom.com
    Registrar URL: http://www.enom.com
    Updated Date: 2014-06-18 19:44:51Z
    Creation Date: 2013-11-13 09:08:00Z
    Registrar Registration Expiration Date: 2015-11-13 09:08:00Z
    Registrar: ENOM, INC.
    Registrar IANA ID: 48
    Registrar Abuse Contact Email: abuse@enom.com
    Registrar Abuse Contact Phone: +1.4252982646
    Domain Status: clientTransferProhibited
    Registry Registrant ID:
    Registrant Name: TROY HUNT
    Registrant Organization:
    Registrant Street: 20 BELGRAVE ST
    Registrant City: CREMORNE
    Registrant State/Province: NSW
    Registrant Postal Code: 2090
    Registrant Country: AU
    Registrant Phone: +61.438040876
    Registrant Phone Ext:
    Registrant Fax:
    Registrant Fax Ext:
    Registrant Email: TROYHUNT@HOTMAIL.COM
    Registry Admin ID:
    Admin Name: TROY HUNT
    Admin Organization:
    Admin Street: 20 BELGRAVE ST
    Admin City: CREMORNE
    Admin State/Province: NSW
    Admin Postal Code: 2090
    Admin Country: AU
    Admin Phone: +61.438040876
    Admin Phone Ext:
    Admin Fax:
    Admin Fax Ext:
    Admin Email: TROYHUNT@HOTMAIL.COM
    Registry Tech ID:
    Tech Name: TROY HUNT
    Tech Organization:
    Tech Street: 20 BELGRAVE ST
    Tech City: CREMORNE
    Tech State/Province: NSW
    Tech Postal Code: 2090
    Tech Country: AU
    Tech Phone: +61.438040876
    Tech Phone Ext:
    Tech Fax:
    Tech Fax Ext:
    Tech Email: TROYHUNT@HOTMAIL.COM
    Name Server: NS1.DNSIMPLE.COM
    Name Server: NS2.DNSIMPLE.COM
    Name Server: NS3.DNSIMPLE.COM
    Name Server: NS4.DNSIMPLE.COM
    DNSSEC: unSigned
    URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
    Last update of WHOIS database: 2014-06-18 19:44:51Z

    The data in this whois database is provided to you for information
    purposes only, that is, to assist you in obtaining information about or
    related to a domain name registration record. We make this information
    available „as is,“ and do not guarantee its accuracy. By submitting a
    whois query, you agree that you will use this data only for lawful
    purposes and that, under no circumstances will you use this data to: (1)
    enable high volume, automated, electronic processes that stress or load
    this whois database system providing you this information; or (2) allow,
    enable, or otherwise support the transmission of mass unsolicited,
    commercial advertising or solicitations via direct mail, electronic
    mail, or by telephone. The compilation, repackaging, dissemination or
    other use of this data is expressly prohibited without prior written
    consent from us.

    We reserve the right to modify these terms at any time. By submitting
    this query, you agree to abide by these terms.
    Version 6.3 4/3/2002

    Get Noticed on the Internet! Increase visibility for this domain name by listing it at http://www.whoisbusinesslistings.com

    Registrar: ENOM, INC.
    Whois Server: whois.enom.com
    Creation Date: 13-NOV-2013
    Updated Date: 19-JUN-2014
    Expiration Date: 13-NOV-2015

    Nameserver: NS1.DNSIMPLE.COM
    Nameserver: NS2.DNSIMPLE.COM
    Nameserver: NS3.DNSIMPLE.COM
    Nameserver: NS4.DNSIMPLE.COM

    Registry Status: clientTransferProhibited

  • @Jürgen Kroder

    Du „schämst“ Dich ja für die Deutschen wegen fehlender Internetkenntnisse.

    Schämst Du Dich nicht, hier einen zweifelhaften Link zu veröffentlichen, wo „Betroffene“ ihre registrierte Mailadresse angeben sollen?

  • sicherlich ist es als Kunde auch wichtig sich über Sicherheit zu informieren und grundlegende Maßnahmen anzuwenden un einzuhalten. Da es sich aber klar um Verbrechen handelt, sollte auch der Staat aktiv werden, er hat schließlich das Gewaltmonopol. Auch sollte der Druck auf die Anbieter erhöht werden mehr in die Sicherheit zu investieren.

  • @Jürgen Kroder

    Es ist nicht hilfreich immer mit den Finger auf andere zu zeigen und sagen „die machen das aber auch“.

    Wer sagt mir, dass CDNet, PCWorld, TNW, Chip, & Co. es nicht genau wie Du gemacht haben? Den Link irgendwo aufgeschnappt und dann veröffentlicht?

    Ich habe doch eine Frage gestellt: Wer ist der Inhaber dieser Seite?

    Vielleicht konzentrierst Du Dich lieber auf die Beantwortung. Dann kannst Du vielleicht alle Zweifel aus dem Weg räumen.

  • Herr Berater postet den unnötig langen whois, schafft es aber nicht, die About-Seite im Menü aufzurufen und/oder ein wenig zu recherchieren? Informiere dich ein wenig über Troy Hunt, anstatt mit Halbwissen zu trollen.

  • @Daniel

    Mutig, mutig.
    Aber wer diese Person oder Institution ist, konnte bisher trotzdem noch keiner beantworten.
    Ooops Daniel, sorry, dass wahrscheinlich kein A…. diesen Typ kennt.

    Auf One.com kann man Top-Level-Domains mit irgendwelchen Fake-Daten registrieren.
    So, und jetzt trink mal eine Dose RedBull und hoffe, dass es Deinem Gehirn Flügel verleiht.