Der Cloudspeicher Dropbox wurde zwar nicht direkt gehackt, trotzdem befinden sich angeblich sieben Millionen Nutzerdaten in den Händen von Hackern. Noch sind keine großen Schäden bekannt. Allzu cool sollte man jetzt trotzdem nicht bleiben und deswegen ein paar Sicherheitsmaßnahmen ergreifen.
Die aktuellen Infos zum vermeintlichen Dropbox-Hack
Wie verschiedene Webseiten – ganz vorne mit dabei „The Next Web“ – berichten, sind gehackte Dropbox-Zugangsdaten im Netz. Hacker haben 400 Nutzernamen und Passwörter veröffentlicht, bis zu sieben Millionen sollen sich in ihrem Besitz befinden.
Die Daten stammen nicht aus einem direkten Dropbox-Hack. Den weist das Cloudspeicher-Unternehmen in einem offiziellen Statement von sich. Stattdessen sollen die Account-Infos aus anderen Hacks zusammen gekommen sein. Da viele Menschen die gleichen Zugangsdaten für verschiedene Dienste verwenden, sind diese auch für Dropbox nutzbar. Die Hacker haben somit die Bequemlichkeit der User zu ihrem Vorteil genutzt.
Neue Stellenangebote
|
Leiterin Content Management Systeme, SEO, Online-Redaktion und Social Media (w/m/d) Deutsche Bahn AG in Frankfurt (Main) |
|
|
Social Media Creative Content Specialist (m/w/d) Lidl Personaldienstleistung GmbH in Bad Wimpfen |
|
|
Social Media Sales Advisor/Customer Agent (f/m/d) – HEBREW Concentrix Management Holding GmbH & Co. KG in Berlin |
Wer wissen möchte, ob er zu den derzeit Betroffenen gehört, findet das auf haveibeenpwned.com heraus. Wer seine Daten in Zukunft nicht manuell prüfen will, kann sich in einen „Notify Me“-Verteiler eintragen, um automatisch informiert zu werden.
So sollte man jetzt handeln
Neben der sofortigen Änderung des Passworts rät Dropbox zusätzlich, die zweistufige Überprüfung zu aktivieren. Hierzu wird eine weitere Sicherheits-Ebene eingeführt, in der man zusätzlich einen 16-stelligen Zugangscode erhält und danach einen sechsstelligen PIN, den man via SMS oder App bekommt, eingeben muss. Wie man die zweistufige Überprüfung aktiviert, wird auf dieser offiziellen Dropbox-Seite im Detail erklärt.
Egal, ob betroffen oder nicht: Alle Internet-Nutzer sollten den Hack ernst nehmen und mal wieder über das Thema Sicherheit nachdenken. Deswegen ist es ratsam, sich bei jedem Dienst ein eigenes, sicheres Passwort zuzulegen. So minimiert man den Schaden bei Hacks wie diesem.
Bild: Dropbox
Genau vor einem Monat habe ich diesen Artikel über Schutzmaßnahmen verfasst, und lustigerweise ist heute tatsächlich wieder Dienstag: http://www.eclectide.com/blog/2014/09/14/another-password-leak-oh-must-tuesday/
Es ist traurig, dass sich die Menschen erst nach einem Angriff um die Sicherheit ihrer Konten kümmern (oder eben auch nicht). Die Zwei-Wege-Authentifizierung existiert bei Dropbox schon länger, und solange gleiche Passwörter für verschiedene Accounts verwendet werden, wird es nächste Woche wieder eine neue Meldung geben, weil man genau die gleichen Passwortkombinationen für XYZ nochmal ausprobiert (was sicherlich bereits geschehen ist). Ich weiß, dass meine Dropbox-Daten vor diesem Angriff (und jedem anderen reinen Passwortangriff) sicher sind, selbst wenn ich das Passwort nicht ändern würde.
haveibeenpwned.com
Ich würde hier nicht meine Adresse testen!
Wer ist der Inhaber dieser Seite?
Domain Name: HAVEIBEENPWNED.COM
Registry Domain ID: 1835276268_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.enom.com
Registrar URL: http://www.enom.com
Updated Date: 2014-06-18 19:44:51Z
Creation Date: 2013-11-13 09:08:00Z
Registrar Registration Expiration Date: 2015-11-13 09:08:00Z
Registrar: ENOM, INC.
Registrar IANA ID: 48
Registrar Abuse Contact Email: abuse@enom.com
Registrar Abuse Contact Phone: +1.4252982646
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: TROY HUNT
Registrant Organization:
Registrant Street: 20 BELGRAVE ST
Registrant City: CREMORNE
Registrant State/Province: NSW
Registrant Postal Code: 2090
Registrant Country: AU
Registrant Phone: +61.438040876
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: TROYHUNT@HOTMAIL.COM
Registry Admin ID:
Admin Name: TROY HUNT
Admin Organization:
Admin Street: 20 BELGRAVE ST
Admin City: CREMORNE
Admin State/Province: NSW
Admin Postal Code: 2090
Admin Country: AU
Admin Phone: +61.438040876
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: TROYHUNT@HOTMAIL.COM
Registry Tech ID:
Tech Name: TROY HUNT
Tech Organization:
Tech Street: 20 BELGRAVE ST
Tech City: CREMORNE
Tech State/Province: NSW
Tech Postal Code: 2090
Tech Country: AU
Tech Phone: +61.438040876
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: TROYHUNT@HOTMAIL.COM
Name Server: NS1.DNSIMPLE.COM
Name Server: NS2.DNSIMPLE.COM
Name Server: NS3.DNSIMPLE.COM
Name Server: NS4.DNSIMPLE.COM
DNSSEC: unSigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Last update of WHOIS database: 2014-06-18 19:44:51Z
The data in this whois database is provided to you for information
purposes only, that is, to assist you in obtaining information about or
related to a domain name registration record. We make this information
available „as is,“ and do not guarantee its accuracy. By submitting a
whois query, you agree that you will use this data only for lawful
purposes and that, under no circumstances will you use this data to: (1)
enable high volume, automated, electronic processes that stress or load
this whois database system providing you this information; or (2) allow,
enable, or otherwise support the transmission of mass unsolicited,
commercial advertising or solicitations via direct mail, electronic
mail, or by telephone. The compilation, repackaging, dissemination or
other use of this data is expressly prohibited without prior written
consent from us.
We reserve the right to modify these terms at any time. By submitting
this query, you agree to abide by these terms.
Version 6.3 4/3/2002
Get Noticed on the Internet! Increase visibility for this domain name by listing it at http://www.whoisbusinesslistings.com
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Creation Date: 13-NOV-2013
Updated Date: 19-JUN-2014
Expiration Date: 13-NOV-2015
Nameserver: NS1.DNSIMPLE.COM
Nameserver: NS2.DNSIMPLE.COM
Nameserver: NS3.DNSIMPLE.COM
Nameserver: NS4.DNSIMPLE.COM
Registry Status: clientTransferProhibited
@Jürgen Kroder
Du „schämst“ Dich ja für die Deutschen wegen fehlender Internetkenntnisse.
Schämst Du Dich nicht, hier einen zweifelhaften Link zu veröffentlichen, wo „Betroffene“ ihre registrierte Mailadresse angeben sollen?
sicherlich ist es als Kunde auch wichtig sich über Sicherheit zu informieren und grundlegende Maßnahmen anzuwenden un einzuhalten. Da es sich aber klar um Verbrechen handelt, sollte auch der Staat aktiv werden, er hat schließlich das Gewaltmonopol. Auch sollte der Druck auf die Anbieter erhöht werden mehr in die Sicherheit zu investieren.
@A.Berater: Wenn haveibeenpwned.com so unseriös ist – warum wird sie dann weltweit von Fachmagazinen wie CDNet, PCWorld, TNW, Chip, & Co. empfohlen?
@Jürgen Kroder
Es ist nicht hilfreich immer mit den Finger auf andere zu zeigen und sagen „die machen das aber auch“.
Wer sagt mir, dass CDNet, PCWorld, TNW, Chip, & Co. es nicht genau wie Du gemacht haben? Den Link irgendwo aufgeschnappt und dann veröffentlicht?
Ich habe doch eine Frage gestellt: Wer ist der Inhaber dieser Seite?
Vielleicht konzentrierst Du Dich lieber auf die Beantwortung. Dann kannst Du vielleicht alle Zweifel aus dem Weg räumen.
Der Betreiber der Seite ist Troy Hunt >> https://haveibeenpwned.com/About
Wenn du mir berechtigte Zweifel nennen kannst und/oder eine andere Art und Weise, wie man haruafinden kann, ob man „gepwned“ wurde – dann immer her damit. Für konstruktive Kritik und Vorschläge sind wir immer zu haben!
Herr Berater postet den unnötig langen whois, schafft es aber nicht, die About-Seite im Menü aufzurufen und/oder ein wenig zu recherchieren? Informiere dich ein wenig über Troy Hunt, anstatt mit Halbwissen zu trollen.
@Daniel
Mutig, mutig.
Aber wer diese Person oder Institution ist, konnte bisher trotzdem noch keiner beantworten.
Ooops Daniel, sorry, dass wahrscheinlich kein A…. diesen Typ kennt.
Auf One.com kann man Top-Level-Domains mit irgendwelchen Fake-Daten registrieren.
So, und jetzt trink mal eine Dose RedBull und hoffe, dass es Deinem Gehirn Flügel verleiht.