Dropbox gehackt: Über 60 Millionen Accounts betroffen

- - 11 Ergänzungen
Der Cloud-Dienst Dropbox lässt sich über Geräte hinweg synchronisieren. Foto: CC-BY 2.0 IN 30 MINUTES Guides

Wer sich zuletzt über eine Mail von Dropbox gewundert hat, in der zum Passwortwechsel aufgerufen wurde, dem sei gesagt: Es war kein Phishing, sondern die Reaktion des Cloud-Unternehmens auf einen Hack aus dem Jahre 2012. In der Mail an die Nutzer hieß es allerdings nur:

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Erfahre mehr in der Datenschutzerklärung von X.

wird etwas genauer erklärt, warum die User die Passwörter ändern sollen. Und so ganz präventiv scheint der Grund doch nicht zu sein: Motherboard hat eine Auswahl der Daten zugespielt bekommen, die Mailadressen und gehashte Passwörter enthielten. Gegenüber Motherboard versicherte ein Dropbox-Mitarbeiter inoffiziell die Echtheit der Daten. Gefährdet sind vor allem Accounts, deren Passwörter noch mit einem veralteten Hash-Verfahren verschlüsselt wurden. Aus den Hashes dieser Passwörter kann das Klartext-Passwort im Zweifelsfall in vergleichbar kurzer Zeit ermittelt werden.

Wer auf Nummer sicher gehen will, sollte also sein Passwort bei Dropbox ändern und die 2-Faktor-Authentifizierung aktivieren. Und natürlich die Daten auf der Dropbox selbst nur verschlüsselt ablegen.

Update 01.09.2016:
Dropbox hat uns gegenüber nun den Hack auch offiziell bestätigt, und auch der Blogpost des Unternehmens wurde aktualisiert.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Markus Reuter recherchiert und schreibt zu Digitalpolitik, Desinformation, Zensur und Moderation sowie Überwachungstechnologien. Darüber hinaus beschäftigt er sich mit der Polizei, Grund- und Bürgerrechten sowie Protesten und sozialen Bewegungen. Für eine Recherchereihe zur Polizei auf Twitter erhielt er 2018 den Preis des Bayerischen Journalistenverbandes, für eine TikTok-Recherche 2020 den Journalismuspreis Informatik. Bei netzpolitik.org seit März 2016 als Redakteur dabei. Er ist erreichbar unter markus.reuter | ett | netzpolitik.org, sowie auf Mastodon und Bluesky.

Kontakt: E-Mail (OpenPGP)

Veröffentlicht 31.08.2016 um 12:22
Kategorie
Schlagworte
Weitere Artikel
Mann, Laptop, Kaputzenpulli, Hacker
Kultur

Hacker im FilmGeschichten des Widerstands

Was hat die Darstellung von Hackern im deutschen Film und Fernsehen eigentlich mit der echten Welt zu tun? Und welche Klischees werden in Hackerfilmen bedient? Diesen Fragen widmet sich Buchautor William Mahan im Gespräch mit Caspar Clemens Mierau, Constanze Kurz und Marcus Richter. Wir sprechen insbesondere über die Filme „23“, „Who am I“ und „The Billion Dollar Code“.

Lesen Sie diesen Artikel: Geschichten des Widerstands

11 Ergänzungen

  2. Auf der Website HaveIBeenPwned kann man außerdem nachsehen, ob man von dem Hack oder einem anderen betroffen ist:

    Es ist außerdem ratsam einen Passwortmanager zu benutzen. Am besten Keepass oder KeepassX, der ist kostenlos und Open-Source und bietet eine sehr hohe Sicherheit, wenn man sich zufällige individuelle Passwörter für jeden Dienst zulegt. Am besten 12 oder mehr Stellen, die werden dann automatisch von Keepass(X) (in Verbindung mit einem Addon für den Browser) eingefügt – sicherer und einfacher als sich komplizierte Passwörter zu merken.

    https://haveibeenpwned.com/
    https://keepassx.org
    http://keepass.info

    1. genau. das richtige ding heißt KeepassX.

      das runterladen per http (ohne s, ohne signatur) war wohl auch bei keepass nicht automatisch.
      trotzdem unverzeihlich von denen, das nicht zu signieren und einen http-link vorzuschlagen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.