Zugriff auf Firmeninterna Dropbox gesteht Sicherheitsproblem ein

Neue Passwörter: Der Cloud-Speicherdienst Dropbox setzt nach unerlaubten Zugriffen die Logins zurück. Geklaut wurden die Zugangsdaten bei anderen Diensten, aber auch bei Dropbox gab es Sicherheitsprobleme - ein Mitarbeiterkonto wurde ausgespäht.

Dropbox-Logo: Der Onlinedienst setzt alle Kundenpasswörter zurück
Dropbox

Dropbox-Logo: Der Onlinedienst setzt alle Kundenpasswörter zurück


Kunden von Dropbox, einem der größten US-Anbieter von Online-Speicherplatz, haben beunruhigende Post erhalten: Ihr Passwort sei zurückgesetzt worden, eine reine Vorsorgemaßnahme, man habe keine verdächtigen Aktivitäten beim betroffenen Konto festgestellt, aber weil anderswo Passwörter geklaut wurden, wolle man nun sichergehen.

Die E-Mail ist echt, Dropbox hat tatsächlich Passwörter seiner Kunden zurückgesetzt. Der Grund dafür: Unbekannten Angreifern ist es gelungen, mehrere Dropbox-Konten zu übernehmen. Dropbox kommt nach Untersuchungen nun zu dem Schluss, dass die dabei verwendeten Login-Daten bei anderen, gehackten Webdiensten geklaut worden sind und die Kunden dieselben Kombinationen aus Passwort und Loginname auch bei Dropbox nutzten.

Dropbox sammelte Kundenadresse in "Projektdokument"

Peinlich: So war das auch bei einem Dropbox-Mitarbeiter. Die Angreifer hatten Zugang zu dem Konto des Angestellten und kopierten von dort "Projektunterlagen mit E-Mail-Adressen von Nutzern". Diese Kunden erhielten daraufhin speziell gestaltete Spam-Mails, die Bezug auf Dropbox nahmen. Was für ein Projekt das ist, führen die Dropbox-Verantwortlichen nicht weiter aus, auf eine Anfrage hat das Unternehmen bis zur Veröffentlichung dieses Artikels nicht geantwortet. Es erscheint merkwürdig, dass die E-Mail-Adressen von Kunden im Klartext in einem Projektdokument in einem Dropbox-Ordner gespeichert werden - eigentlich haben die doch nur etwas in den Datenbanken zur Abwicklung des Dienstes etwas zu suchen.

Dropbox verspricht nun neue Sicherheitsmaßnahmen für die nahe Zukunft. Kunden können auf einer Übersichtsseite nachverfolgen, von welchen IP-Adressen aus auf ihr Konto zugegriffen wurde. In wenigen Wochen will Dropbox ein Zwei-Stufen-Login anbieten. Bei diesem Verfahren muss nicht nur das Passwort, sondern auch eine spezielle Zeichenfolge eingegeben werden. Die wird bei jedem Login neu an eine zuvor angegebene Mobilfunknummer verschickt.

Eine Lehre daraus: Man sollte für unterschiedliche Web-Dienste unterschiedliche Passwörter nutzen. Wie Sicherheitsexperten sich die merken, steht hier.

Nachtrag: Es ist unklar, wie viele Passwörter Dropbox zurückgesetzt hat. Einige Kunden können sich weiterhin mit alten Logins anmelden, andere haben den Hinweis erhalten, obwohl ihr Passwort nur bei Dropbox genutzt wurde, laut Dropbox stark ist und das Konto dem Anbieter zufolge auch nicht von verdächtigen Logins betroffen war.

Der Autor auf Facebook

lis

Mehr zum Thema


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.