Dropbox: Massives Datenleck, Passwort-Änderung stark empfohlen

Der Cloud-Speicher-Dienst Dropbox ist zum wiederholten Mal innerhalb weniger Tage in die Schlagzeilen gekommen, nun ist es ein massives Sicherheitsproblem. Das Unternehmen hat das auch bestätigt, die Login-Daten wurden zurückgesetzt. mehr... Logo, Dropbox, Online Speicherdienst Bildquelle: Dropbox Logo, Dropbox, Online Speicherdienst Logo, Dropbox, Online Speicherdienst Dropbox

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Okay, dann haben sie jetzt meine Urlaubsfotos :( Naja, solange es nur das ist :D
 
@notepad.exe: Oder dir einer Bilder von leicht bis gar nicht bekleideten Kindern hochläd, alles halb so wild...
 
@notepad.exe: Oder eure Kinderfotos stiehlt und die für teuer geld an dritte pedofile verkaufen
 
Früher hatte ich überall das gleiche Passwort, dank KeePass aber seit 4 Jahren überall zufällige, sehr lange, auf jeder Seite ein anderes. Offensichtlich ist alles andere auch heutzutage fahrlässig. Zur Grafik aber: Die zielt auf Offline-Passwörter. Per HTTP 150 Milliarden Anfragen in der Sekunde zu senden und Antworten zu empfangen, dass will ich sehen ;)
 
@lutschboy: Im obigen Beispiel sind es gerade mal 321 mögliche Kombinationen. Das ist ein klacks für jedes Brutforceprogramm.
 
@LastFrontier: Was du meinst ist die Werbeeinbledung für irgendwas.
 
@Pozilist: Welche Werbegrafik? Ich sehe da eine Infografik mit einem dreistelligen Passwort auf numerische Zeichen begrenzt.
Und da die 0 fehlt sind es sogar weniger wie 321 Möglichkeiten (nämlich von 111 bis 333).
Selbst wenn du alle numerischen Zeichen verwendest (0 bis 9) hast du gerade mal 1000 Möglichkeiten (beginnend bei 000 bis 999).
Auch bei Verwendung aller möglichen Zeichen ist das bei dreistelligen Passwörtern ein Minutenakt.

Ein Fahrradschloss z.B. mit einer 4 Stelligen Zahlenkombination öffne ich dir in ca. 5 Minuten. Ohne Computer oder Bolzenschneider.
 
@LastFrontier: klicke die grafik mal bitte an..., ich glaub, du verwechselst da grade ein wenig!
Bei einem dreistelligem Passwort mit den Zeichen 1, 2, 3 hast du 3^3=27 Möglichkeiten.
(wie auch im Bild zu sehen).
usw....!

von 321Möglichkeiten wird nirgens gesprochen!
 
@Trimmi: würdest du bei einem bruce force angriff nur die zeichen 1 bis 3 probieren oder 0 bis 9 ? (also 3^10)

außerdem setzt die berechnung von 3³ voraus das es exakt 3 stellen lang ist und nicht nur 1 oder 2 stellen.
die berechnung müsste eher lauten 3^1 + 3^2 + 3^3 = 3+9+27 = 39
nur so in paar gedanken dazu
 
@Trimmi: das ist jetzt nur weil du das Passwort hier siehst.

Um es aber zu ermitteln musst du mit einem Brutforceprogramm ja irgendwo anfangen; blind rumstochern bringt dir ja nichts.
Also fängst du bei einem dreistelligen Passwort mit 000 an. Und wenn du dann bei 123 ankommst, hast du exakt 124 Abfragen durchgeführt.

Je länger das Passwort ist und je mehr Zeichen du verwendest um so länger dauert die Entschlüsselung.

Oft ist es aber so, dass Programme die Passwörter knacken erst mal anhand einer Passwortliste versuchen den Account zu öffnen. Es gibt da Listen mit tausenden von immer wiederkehrenden Passwörtern.
Und erst wenn das nicht zum erfolg führt ghets mit einer Aufwändigen Brutforce-Abfrage los.

Das Problem sind aber nicht nur Anwender die leichte Passwörter haben, sondern auch Softwarehersteller die da schon grob fahrlässig handeln.
Excel, Word, Powerpoint, Adobe bieten ja die Möglichkeit Dateien mit einem Password zu versehen. Egal wie aufwändig du dieses Passwörter gestaltest - sind in unter einer Minute entfernt.
Der Grund liegt darin, dass die Passwörter dieser Hersteller (und auch einiger anderer) in bestimmten Bereichen der Datei mit abgelegt werden. Und diesen Bereich macht man leer - und das wars.
Das ist seit Jahrzehnten so.
Wenn also z.B. MS es noch nicht mal schafft Datei-Kennwörter richtig vor Aushebelung zu schützen, dann traue ich deren Cloud-Sicherheit nicht von der Tapete bis zur Wand.

Ich habe das vor 14 Tagen erstwieder in einer Firma gehabt. Deren ganzen Baustellenzettel und Abrechnung (Excel-Dateien) liegen in Googledrive. Schön mit Passwörtern (teils sogar in einzelnen Zellen) versehen.
Als ich denen zeigte wie schnell und einfach die Kennwörter zu entfernen sind wurden die Gesichter elendig lang (800 Dpkumente in ca. 10 Minuten).

Das fatale an der Sache: du musst da nicht mal ein grossartiger Hacker sein, da du die entsprechenden Passwort-Knacker innerhalb Minuten via Suchmaschine findest.
 
@lutschboy: das mit keePass mach ich auch so nur dummerweise hat gerade dropbox ein leichtes kennwort weil dort die KeePass datenbank liegt ohne die ich nicht an die Passwörter der anderen dienste komme...und die datenbank brauch ich eben immer aktuell auf allen geräten
 
@DNFrozen: Das macht aber nichts, solange Du für die KeePass-Datenbank selbst ein hinreichend sicheres Passwort gewählt hast. Dann könnte zwar ein Einbrecher in Dropbox Deine KeePass-Datenbank stehlen, sie jedoch nicht entschlüsseln.
 
@FenFire: Deswegen hat es 25 Stellen :D
 
@DNFrozen: Löblich :)
 
@FenFire: Wenn man Windows oft genug neu installiert kennt man den Key irgendwann auswendig^^
 
@DNFrozen: Mir gehts meist so, wenn ich einen WLAN-Key Whatever eingebe und man nicht zwischen 0&O, i&l,... unterscheiden kann. Und das bei mehreren Geräten. Irgendwann kann man ihn vor lauter probieren auswendig.

Man könnte sich aber auch mal kennzeichnen obs nun 0 oder ein O war XD
 
@FenFire: Gibt noch eine zweite Sicherheitsmechanik die dabei helfen kann.

Du kannst KeePass zusätzlich zum Passwort mit einer generierten Keyfile sichern.
Öffnen lässt sich die Datenbank nur mit Keyfile UND Passwort.
Und die Keyfile verlässt dein System einfach nie wieder (USB-Übertragung auf ein Smartphone/Laptop mal ausgenommen)
Damit kommt jemand selbst mit Brute Force nicht mehr an deine Datenbank, wenn er die Keyfile nicht besitzt. (Die Keyfile dürfte per Brute Force nicht in Milliarden Jahren zu "erraten" sein)
 
@Draco2007: Ja, das kommt noch obendrauf :) (nutze ich ebenfalls ;))
 
@lutschboy: Und wenn dein Master-Passwort gestohlen/erraten ist, haben sie Zugang zu allen deinen Accounts.
 
@MaxM: Das Masterpasswort ist nirgends verzeichnet und hat jede Menge Zeichen. Es müsste also ein Keylogger und ein Trojaner am Start sein - und wenn dass der Fall ist, dann ist alles zu spät und die Angreifer auch in der Lage meine Passwörter ohne Datenbank zu loggen. Insofern ist dein Kommentar zwar richtig, aber vom Inhalt her bedeutungslos. Abgesehen davon ist die Wahrscheinlichkeit dass jemand ein Passwort durch Sicherheitslücken auf ner Webseite erhascht exorbitant größer als dass jemand in den Besitz meiner Datenbank kommt und diese knackt.
 
@MaxM: Siehe oben...Stichwort Keyfile.
 
Bestimmt über eine Drittanbieterapp von Windows Phone abgegriffen, da gibt es ja etliche!
 
@iSpot: Genau. Aber dann haetten sie doch nicht mal das Paste Bin voll bekommen, oder
 
Dropbox wasn’t hacked
Posted by Anton Mityagin on October 13, 2014

Recent news articles claiming that Dropbox was hacked aren’t true. Your stuff is safe. The usernames and passwords referenced in these articles were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens.

Attacks like these are one of the reasons why we strongly encourage users not to reuse passwords across services. For an added layer of security, we always recommend enabling 2 step verification on your account.

Quelle:
https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/
 
@TheUntouchable: Genau das habe ich mir gedacht, bzw. gehofft. Inzwischen nutze ich bei allen wichtigen Diensten ein extra passwort. Wird auf irgendeiner Seite mein Passwort entwender funktioniert die Kombination nur dort! Und genau das haben die meisten Leute halt noch nicht begriffen!
 
Eigentlich der Grund, warum ich nichts in die Cloud verfrachte.Persönlich habe ich nichts gegen Cloud-Systeme,aber es zeigt doch immer wieder,das die Sicherheit nicht wirklich gegeben ist.Deshalb kommt alles auf meine externe Festplatte.Retro ist halt immer noch am sichersten.
 
@Fanta2204: Naja, ansich ist die Sicherheit deswegen nicht gegeben, weil der User offensichtlich immernoch nichts begriffen hat, oder einfach zu faul ist. Wenn ein User überall die gleiche Kombination EMail Passwort nutzt, darf man eigentlich schon gar nicht mehr von einem Hack sprechen. So sieht es nämlich derzeit bei Dropbox aus und das macht auch Sinn.
 
@FatEric:Da stimm ich dir ganz und gar zu.Allerdings gibt es noch ein weit schlimmeres Problem.Viele speichern ihre Passwörter in ihren Browern ab,natürlich aus reiner Bequemlichkeit.Schlimmer noch, das sie dann auch noch kostenlose Virenprogramme nutzen (ohne Browser-Schutz) und dabei denken, sich damit in voller Sicherheit zu wiegen.Auf die Frage,warum sie nicht ein Sicherheitsprogramm wie Kaspersky IS,Avira IS,Bitdefenter kaufen und für ein bischen mehr Sicherheit sorgen, kommen die seltsamsten Ausreden zu Tage.Die wirkliche Antwort ist aber die,das sie einfach zu geizig dafür sind.Letztendlich müssen sie sich nicht wundern,wenn ihre Rechner infiziert werden und bezüglich den Kriminellen Tür und Hof öffnen und ihre Passwörter vom Rechner durch Trojaner gestohlen werden.
 
@Fanta2204: ähm das mit den Passwörtern die im Browser gespeichert sind versteh ich aber was ist so schlimm an gratis Antivierensoftware?

in Welcher Situation würde das deutlich mehr sicherheit bieten bzw. gegen welchen fall willst du dich damit schützen?
und wie genau soll eine "Browser-Schutz funktion" Funktionieren?
Wenn aufgrund eines Programierfehlers der Bowerser eine Sicherheitslücke hat dan muss der Browser den Fehler durch einen Patch korrigieren. Dies antivierensoftware hat da nicht viel einfluss
 
@Fanta2204: Mir wurde mal eine 1TB Externe Platte geklaut vor ein paar Jahren. Scheibe im Auto eingeworfen und Rucksack geklaut.

Frag mich heute noch was da alles so drauf war und wer sich das anguckt.
 
@Flauschi: hättest mal deine Festplatte verschlüsseln sollen (Scherz). Ist natürlich Pech und ärgerlich für dich (kann ich voll nachvollziehen).
 
Die Infografik ist praktisch. Jetzt werde ich meine Passwörter auch auf !hL€MeKeUErA5 setzen, da es das sicherste Passwort ist :)
 
@Lex23: und dann kommen wieder Anbieter, die Sonderzeichen oder ähnliches nicht gestatten.... ;)
 
@Lex23: Aber ich habe keine Katze! Wie soll ich mir das Passwort denn merken können?!
 
Man sollte in Bezug auf die Cloud langsam über neue Sicherheitsmaßnahmen nachdenken und nicht nur auf "Kennwörter" zurückgreifen. Je mehr Dienste man im Internet nutzt, desto höher die Gefahr, dass einer dieser Dienste schlampt und realsistisch gesehen werden halt oft gleiche Passwort Kombinationen in mehreren Diensten genutzt. Und selbst sichere Kennwörter heißen ja nicht, dass es keine Sicherheitslücken gibt.
 
Dank Boxcrypt0r kann eh keiner was mit meinen Daten in der Cloud anfangen :)
 
@GiZm0r: Sicherlich nicht,aber drauf laden können sie trotzdem irgend etwas.Das Gefühl,das dort Dinge von Unbekannten drauf geladen werden könnten,die strafrechtlich sind,sollte schon einem zu bedenken geben.
 
@Fanta2204: Naja, wüsste nicht, ob man dafür belangt werden könnte. Es könnte dir auch jemand illegale Bilder in dein gekipptes Fenster werfen oder in den Briefkasten legen.
 
@Fanta2204: 1. Welchen Nutzen hätte ein Datendieb, dem es um eigene Bereicherung geht, davon? Unwahrscheinlich, dass ein "normaler" Verbrecher, für den Du nur ein x-beliebiges Opfer bist, das macht. 2. Jemand, der Dir persönlich schaden will (z.B. der Nachbar, mit dem Du Dich ständig streitest) dürfte wenig Möglichkeit haben an die geklauten Daten zu kommen, und wenn er Dich persönlich kennt kann er Dir auch noch auf ganz andere Weise schaden, dann hast Du eh ein Problem 3. Eine staatliche Organisation hat zum einen möglicherweise noch auf anderem Wege Zugriff, zum anderen hat sie ebenfalls zig Möglichkeiten Dir zu schaden, wenn es tatsächlich darum geht. 4. Selbst wenn es passieren sollte, so würde ja versucht werden zu ermitteln, was wirklich geschehen ist - und da dürfte es so einige Ermittlungsansätze zum Nachweis Deiner Unschuld geben. Auch wenn es jede Menge Ärger einbrächte, bis Deine Unschuld erwiesen ist.

Daher: theoretisches Szenario. In der Praxis vermutlich unwahrscheinlicher, als dass Du heute vom Blitz getroffen wirst.
 
Deswegen wäre es für eine Cloud absolut notwendig dass spätestens nach dem Dritten Fehlversuch der Account gesperrt wird. Ansonsten ist das nämlich witzlos.
 
Mein Passwort lautet überall "incorrect" Wenn ich mich vertippe oder es vergessen habe kommt auf englischen Seiten "Your Passwort is incorrect, dann weis ich es wieder . Supppper praktisch ;-)
 
@Tomato_DeluXe: Warum hast du dann nicht min. 2. "Access denied" ;-)
 
Gut, dass meine wichtigen bzw. privaten Daten via Boxcyrptor verschlüsselt sind.
 
@kubatsch007: Solange du die nicht in der Cloud ver- oder entschlüsselst - ja.
 
@LastFrontier: Das geht nur auf dem dem jeweiligen Client Gerät mit dem entsprechenden Programm von Boxcryptor. Und solange da nirgends eine geeignete Sicherheitslücke auftaucht bin ich mir recht sicher, dass meine Daten sicher sind. (Außer vielleicht vor der NSA und Co. ;) )
 
@kubatsch007: Gut das meine Daten auf USB sticks bzw Speicherkarten im µusb style ruhen das macht diese sicherer als jede cloud
 
Und das BSI empfiehlt sogar, das man die Daten in der Cloud lagert.
Die Ausssage war von denen gewesen, das die Daten nur in der Cloud vor Verschlüsselungstrojanern sicher ist.

Also als ich die Aussage gehört hatte, musste ich mir nur noch an den Kopf fassen.
 
Wisst ihr wie Hacker denken? Ständen sie neben einer Wolke (Cloud) könnten sie locker durch sie hindurchlaufen.. so ist genau das passiert was dropbox ignoriert^^
 
So Passwort mal schnell geändert. Was komisch ist Ich bin Plötzlich Dropbox Pro und habe 1,11 TB. Nochmal geschaut die Pro läuft am 10.10.15 ab.
 
Deswegen auch mein Kommentar zu "Online Speicher" http://winfuture.de/comments/thread/#2476101,2476101

Meine persönlichen Daten einem Online Speicher Unternehmen anvertrauen, never. Höchstens irgendeinen Datenmüll, zB. alte Programme damit ich diese nicht ständig auf meinen Backup Platen mit kopieren muss.
Selbstverständlich ohne irgendeinen Hinweis, in Bezug auf Nutzerdaten und Seriennummern.
 
Wer findet den Fehler in der Infografik? :-)
 
Dropbox dementiert den ursprung auf deren Seite. Die Daten müssen wohl von woanders stammen, da viele Nutzer überall das selbe Passwort haben....
 
@dani4u: Habe mal nach ein paar Email-Adressen+Passwörter dieses Leaks in Pastebin gesucht. Da kommen einige gehackte Anbieter zum Vorschein. Einfach alles sammeln und denselben Login/PW bei anderen Diensten testen. Voila, fertig ist der Dropbox,X,Y,Whatever Leak.

-> this "da viele Nutzer überall das selbe Passwort haben"
 
Dropbox bietet auch eine Zwei-Faktor-Authentifizierung mittels Smartphone-App oder SMS. Dann noch eine Verschlüsselung wie Boxcryptor für sehr wichtige Daten und die Cloud dürfte ziemlich sicher sein.
 
Nach dem was in den letzten Tagen alles an Cloud-Leaks zum Vorschein gekommen ist, wird wohl auch der Dümmste endlich erkennen, dass man keine sensiblen Daten und Bilder in eine Cloud steckt.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles