► Hacker haben die Zugangsdaten von über 60 Millionen Accounts des Online-Cloud-Speichers Dropbox gestohlen. Zwar wurden die Daten bereits während eines schon früher aufgedeckten Sicherheitsproblems gestohlen—Dropbox hatte erklärt, man haben seine Nutzer schon zum Ändern der Passwörter veranlasst—doch das ganze Ausmaß des gigantischen Datendiebstahls kommt erst jetzt ans Licht.

Motherboard ist durch eine Quelle aus der Community der Datenbank-Täuscher an ein Datenpaket gekommen, das E-Mail-Adressen sowie verschlüsselte Passwörter von Dropbox-Usern enthält. Insgesamt haben diese vier Dateien eine Größe von ungefähr fünf Gigabyte und beinhalten Informationen zu 68.680.741 Accounts. Und laut einem langjährigen Dropbox-Mitarbeiter, der anonym bleiben wollte, sind die Daten auch echt.

► UPDATE: Auch die Website Have I been pwned scheint an die kompromittierten Datensätze gelangt zu sein und bietet einen Selbsttest an.

Anfang dieser Woche hatte Dropbox verkündet, dass bei einer gewissen Anzahl von Nutzern eine Änderung des Passworts notwendig sei, nachdem man auf eine Reihe von Zugangsdaten entdeckt hatte, die mit dem Sicherheitsleck von 2012 in Verbindung stehen. Das Unternehmen veröffentlichte keine genauen Zahlen und ließ verlauten, dass es sich um eine vorausschauende Maßnahme handle.

"Unsere Sicherheitsteams sind ständig auf der Suche nach möglichen Gefahren für die User. Im Zuge dieser Bemühungen erfuhren wir auch von einem Paket an älteren Dropbox-Zugangsdaten (E-Mail-Adressen plus verschlüsselte Passwörter), die unserer Meinung nach 2012 erbeutet wurden. Unsere Analyse legt nahe, dass die Anmeldedaten auf einen Zwischenfall zurückgehen, den wir um diese Zeit herum aufgedeckt haben", teilte das Unternehmen mit.

Die nun aufgetauchten 60 Millionen User-Accounts stehen ebenfalls mit genau diesem Datenleck in Verbindung. Die Plattform Leakbase spielte Motherboard das komplette Paket zu. Dabei fiel vor allem auf, dass viele der darin enthaltenen User ihren Dropbox-Account im Jahr 2012 oder früher erstellt hatten.

„Wir können bestätigen, dass die letzte Woche durchgeführten Passwortänderungen bei allen potentiell betroffenen Usern greifen“, erklärte derweil Patrick Heim, der Sicherheitschef von Dropbox. „Wir haben diesen Reset als Vorsichtsmaßnahme angesetzt, damit die alten Passwörter im Zeitraum vor Mitte 2012 nicht mehr dazu genutzt werden können, um sich Zugang zu fremden Dropbox-Accounts zu verschaffen. Wir raten unseren Usern aber auch, ihre Passwörter bei anderen Websites und Services zu ändern, falls diese mit dem Dropbox-Passwort zusammenhängen sollten.“

Fast 32 Millionen der Passwörter sind mit der starken Hash-Funktion bcrypt verschlüsselt. Das bedeutet, dass die Hacker sehr wahrscheinlich nicht dazu in der Lage sind, an wirklich viele der tatsächlichen Passwörter zu kommen. Der Rest ist wohl mit SHA-1 verschlüsselt, einem anderen, etwas >älteren Algorithmus. Bei diesen Hashes scheint aber auch noch ein sogenannter Salt dabei zu sein, also eine zufällig generierte Zeichenfolge, die dem Passwort-Hash-Prozess angehängt wird und diesen somit zusätzlich stärkt.

Seit 2012 hat Dropbox die firmeneigenen Hash-Prozesse nun schon mehrmals verändert, damit die Passwörter auch sicher bleiben. Das gehackte Dropbox-Datenpaket scheint auf den großen Darknet-Börsen noch nicht im Angebot zu sein. Allerdings sind solche Daten auch nicht mehr wirklich viel wert , wenn die Passwörter hinreichend verschlüsselt sind. Ein Hacker behauptete gegenüber Motherboard jedoch trotzdem, bereits im Besitz der Daten zu sein.

Bei dem ganzen Zwischenfall handelt es sich um einen weiteren sogenannten "Mega-Breach". So wurden in den vergangen Monaten schon mehrere Millionen Nutzerdaten von Websites wie etwa LinkedIn, MySpace, Tumblr oder >VK.com erbeutet und unter Hackern getauscht sowie verkauft.

Quelle: Motherboard.vice.com