Angeblich 7 Millionen Dropbox-Konten gehackt
Unbestätigten Meldungen zufolge sollen Hacker im Besitz von den Zugangsdaten zu 7 Millionen Benutzerkonten des Online-Speicherdiensts Dropbox sein. Mehrere Hundert Kombinationen aus Anmeldename und Kennwort wurden bereits auf einer Onlineplattform veröffentlicht, zumindest ein Teil davon war laut Anwenderberichten authentisch.
Hintergrund für die Aktion sind offenbar kommerzielle Interessen eines oder mehrerer Hacker, die als Gegenleistung für die Überweisung von Bitcoins die Veröffentlichung weiterer Daten versprechen.
MORE BITCOIN = MORE ACCOUNTS PUBLISHED ON PASTEBIN. As more BTC is donated , More pastes will appear. To find them, simply search for "DROPBOX HACKED" and you will see any additional pastes as they are published.
Zweistufige Bestätigung aktivieren
Unabhängig davon, ob sich die hohe Zahl der kompromittierten Benutzerkonten bestätigen wird, sollte euch diese Nachricht Anlass genug sein, bei Dropbox wie bei anderen Onlineanbietern auf die sogenannte „zweistufige Überprüfung“ umzusteigen. Damit wird der unbefugte Fremdzugriff auf euer Benutzerkonto nahezu unmöglich. Dropbox erklärt die Aktivierung dieses Sicherheitsmerkmals hier auf Deutsch. Wie bereits in der Vergangenheit von uns berichtet, bieten auch Apple und Evernote entsprechende Sicherheitssysteme für Benutzerkonten an. Im Dropbox-Blog ist erst vor wenigen Tagen ein umfassender Artikel zum Thema Account-Sicherheit und Schutz vor Phishing und Malware erschienen.
UPDATE: Dropbox hat eine Stellungnahme veröffentlicht, derzufolge der Onlinedienst selbst nicht gehackt wurde, sondern die benutzten Kontendaten anderweitig im Internet gestohlen wurden.
Wenn die zweistufige Überprüfung aktiviert ist, kann man dann trotzdem per TouchID freischalten oder muss man jedes Mal einen Code eingeben?
Die Dropbox App unterstützt noch kein TouchID oder hab ich was verpasst? Bei mir tut sie das zumindest nicht! Aber um deine Frage zu beantworten, die zweistufige Überprüfung betrifft nur den Weblogin, nicht den Login bei Apps.
Die zweistufige Authentifizierung betrifft natürlich auch Apps, sonst wäre das ja vollkommen sinnlos. Bei PayPal war das bis vor kurzem noch so, dass nur der Web-Login durch die zweistufige Authentifizierung gesichert wurde. Aber PayPal hat das schnell gefixt: Nun kann man sich nämlich gar nicht mehr in die PayPal-App einloggen wenn man die zweistufige Authentifizierung aktiviert hat.
Prima. Gibt es denn eine offizielle Seite oder ähnliches wo man prüfen kann, ob das eigene Konto auch betroffen ist? Ja, natürlich sollte man das eigene Passwort ändern, aber zu wissen ob das alte kompromittiert war, wäre dennoch interessant/wichtig…
Die zweistufige Bestätigung ist nur erforderlich, wenn du z.B. von einem zuvor nicht bekannten Gerät auf die Dropbox zugreifen willst. Das genügt ja in der Regel, um Fremdzugriff auszuschließen.
Danke, aber darum ging es nicht. Wenn es denn wirklich so war, wäre es doch gut, wenn man selber testen könnten ob das eigne Konto gehackt wurde. Daher die Frage: Kann man das irgendwo prüfen?
Oh ja, meine Antwort sollte eigentlich auch eins höher stehen :-)
Nachdem niemand weiß wie viele Logindaten tatsächlich in fremden Händen liegen, kann man das auch nicht prüfen. Allerdings siehst du hier jederzeit, ob fremde Computer auf deine Dropbox zugreifen: http://www.ifun.de/dropbox-sic.....nen-28046/
Das Passwort können die behalten. Mache mit 1password ein neues und gut. Bin froh das ich mich damals dazu entschieden habe das Geld zu investieren und nicht mehr nur 2 verschiedene Passwörter nutze. Das mit der zweistufigen Bestätigung war nochmal ein guter Sicherheitstipp den ich für Dropbox bisher noch nicht aktiviert hatte. Danke dafür!
Ich frag mich, ob die mein 30-stelliges, von 1Passwort generiertes, PW so „einfach“ hacken können. Ist ja stets ein Wirrwarr aus allem auf der Tastatur.
Es geht hier nicht um „hacken“. Niemand hackt sich in Trillionen unwichtige Konten. Das Problem ist doch, das irgendwo ne Sicherheitslücke gefunden wurde, dort sämtliche Namen und Kennwörter nicht verschlüsselt abgelegt waren, diese Liste geklaut wurde und nun geschaut wird, wer denn auf verschiedenen Seiten die selben Logindaten nutzt.
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
Dropbox selbst sagt, dass es eine Falschmeldung ist:
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
Leute…
1. wenn Euer Account gehackt wurde, ist es egal wieviele Stellen Euer Passwort hat, da dieses dann gelesen werden kann, da hilft Euch auch nicht 1Password weiter. Das Passwort MUSS geändert werden.
2. wenn Ihr Eure Dropbox mit einer Drittanwendung verknüpft habt, können die Daten über diese Drittanwendung gehackt worden sein und nicht direkt über Dropbox. Deshalb die Meldung von Dropbox, dass bei ihnen keine Daten gehackt wurden.
Aber ein Passwortsafe macht es sehr einfach sein Passwort zu ändern.
Bin gestern ein einfach zu SpiderOak umgestiegen. Kann genauso viel. Aber ohne, dass meine ganzen Dokumente durchstöbert werden. Für alle Threema-Nutzer könnte das auch interessant sein.
Was hat Threema damit zu tun? (Ich frage aus ernstem Interesse)
End-To-End-Verschlüsselung und Zero-Knowledge-Policy der Anbieter.
Ja wenn du nur 1-2MB Daten hast ist spideroak super, Aber lade mal 5gb zu spideroak hoch und dann wieder runter. Dauert ewig. Leider :(
Klar. Meine PDF Bibliothek ist weiterhin bei Dropbox, meine Programmierarbeit und persönlichen Dokumente eher nicht :-)
Verstehe ich das richtig, dass Apple dieses Problem (dass ein Drittanbieter gehackt wird oder für das Datenleck verantwortlich ist) mit den anwendungsspezifischen Passwörtern umgehen möchte?
Ja, genau.
Langsam stimmt der Kalauer, dass Cloud von ge“klaut“ kommt.
Danke für den Tipp, habe dabei gemerkt, das die zweistufige Anmeldung bei mir schon aktiv ist.
http://pastebin.com/aRgTJzzg
Einfach nachschauen
Nicht schlecht: http://pastebin.com/Kz17ga5q
Das schlimme an Dropbox ist, dass es quasi zum Cloudstandard gewachsen ist, und eine große Anzahl an Dritt-Apps die API nutzen und sich somit in Abhängigkeit begeben. Das hat mich in der Vergangenheit (mehrfache Änderung des Login) schon genervt. Spätestens seit der Warnung durch Snowden, sollte wohl keiner sensible Daten in der unverschlüsselten Form der Dropbox vorhalten. Zudem gehe ich davon aus, dass ein Großteil der gehackten Konton in den USA, oder zumindest im englischsprachigem Raum zu finden sind.
Als kleiner Verschwörungstheoretiker könnte man es auch so auslegen: Erst wird schön Panik gemacht ! Als nächstes nutzen 95% der Leute die „Handy-Variante“ und schon kann man zu jeden legalen und illegalen Dropbox Inhalt eine Handynummer + Herkunftsland + Adresse zuordnen. …… Nur mal so am Rande….. ;-)
Das Problem ist nicht nur dass es sich um teils noch gültige Dropbox-Accounts handelt. Viel schlimmer ist es dass diese auch bei anderen Anbietern wie z.B. Amazon funktionieren. Die meisten verwenden immer ein und dasselbe Passwort. Selbst wenn es bei Dropbox nicht mehr existieren sollte kann es durchaus noch bei Amazon und Co. funktionieren.
Hab die Gelegenheit genutzt und die 2 stufen Aktivierung eingebaut – warum nicht. Da ich dropbox aber ohnehin nur als Foto Backup nutze da mir der 5gb cloudspeicher von Apple zu klein ist. Und meine Fotos so geheim sind dass ich die alle auf Facebook posten könnte (ein paar Landen da sogar) ist eine kompromitierung in diesen Fall für mich nicht weiter dramatisch. Nichts was ich sicher wissen will – landet auf irgendwelchen cloudspeichern – sondern immer auf die Portable USB Festplatte
wie funktioniert diese 2stufige Sicherheit bei den iOS Versionen? Ich könnte da in der App nichts zu finden?
Echt gute Frage!
Na da bin ich ja froh, dass ich meinen Account bis auf ein paar unwichtige Dateien vor einiger Zeit schon geräumt habe. Weiß man schon, wer hinter dem Hack steckt? Und taucht in der Liste auch Condoleeza Rice auf?