Dropbox wurde 2012 gehackt, das Ausmaß wird erst jetzt bekannt

Der beliebte Cloud-Speicher-Dienst Dropbox ist 2012 zum Opfer eines massiven Datenlecks bzw. Hacks geworden. Das wahre Ausmaß wird aber erst jetzt, also vier Jahre später, bekannt: Denn damals erbeuteten die Hacker sage und schreibe 68 Millionen ... mehr... Logo, Dropbox, Online Speicherdienst Bildquelle: Dropbox Logo, Dropbox, Online Speicherdienst Logo, Dropbox, Online Speicherdienst Dropbox

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ich lach mich schlapp ........... ich wiederhole, "es wollen alle ihre Daten mit der Welt teilen"

was wohl alles noch so leckt ......
 
Eine reale Gefahr ist es nur dann, wenn auch das Salz bekannt wurde. Ansonsten gilt:

richtiges Passwort + Salz = passender Hash

Das Salz ist der Schlüssel zum Hash. Nur mit dem Salz passt das richtige Passwort zum Hash.

Und genau diese Information fehlt im Artikel: Wurde das Salz ebenfalls geklaut oder nicht?
 
@karstenschilder: "Wurde das Salz ebenfalls geklaut oder nicht?"

steht doch da ........... da:

"Diese sollen zwar nur als Hashes vorliegen, davon aber etwa die Hälfte per SHA1-Hash mit Salt, was eine reale Gefahr mit sich bringt, dass diese entschlüsselt werden können bzw. worden sind (ein Teil ist mit bcrypt gesichert)."
 
@karstenschilder: Das ist doch völlig irrelevant ob das Salt auch geklaut wurde.

Ist dir klar wie das mit dem Salt funktioniert?

Passwort + Salt + Hash -> als "Passworthash" abspeichern.

Um das ganze jetzt umzukehren, also Passworthash -> Passwort ist es vollkommen irrelevant ob der Salt bekannt ist, da sich ein Hash nicht umkehren lässt.
Aber man braucht das Salt als Klartext in der Datenbank um ein eingegebenes Passwort vom User prüfen zu können. Wichtig ist nur, dass es einzigartig für jeden User ist.

Also muss man solange Passwörter mit dem Salt hashen bis man eine Kollision erzeugt. (also das Passwort finden, oder eine Zeichenkette die den gleichen Hash erzeugt)
Das ist aber im Prinzip ein reiner Brute Force.

Das Problem liegt nun nur in der Komplexität der Hashfunktion. Ein einfacher Hash, der sehr schnell geht, macht einen Brute Force mit genug Rechenpower "realtiv" einfach. Der SHA1 ist wohl so einer.
Wenn die Hashfunktion aber selbst schon 100ms braucht (beispiel) wird ein Brute Force einfach schlicht unmöglich. Erstrecht bei der Anzahl der User.
 
@Draco2007:

ach ja, das man darüber überhaupt berichtet, ist doch soooooooo sicher, daher verschwieg man ja auch, alles gaaaaanz sicher.

Immer schööööön betonen, alles gaaaaanz sicher. ;-)
 
@Kruemelmonster: Naja, das mit dem Salt und Hash ist nur Mathematik. Beweisbar.

Ändert natürlich nichts an der Tatsache, dass Dropbox hier gehackt wurde und die Daten jetzt in den falschen Händen sind. Und sie durch den SHA1 Hash auch nicht so besonders gut gesichert sind.

Ein Brute Force auf einen einzelnen User ist damit sehr einfach. Von dem her ist die DEUTLICH verspätete Informierung ziemlich beschissen. In 4 Jahren lassen sich eine ganze Menge Passwörter kacken, wenn sie nur mit SHA1 gehasht sind.
 
@Draco2007:

Eben, so lustig ist es nicht. Es sollte da ja um 5GB gegangen sein, insgesamt 68 Millionen Datensätze.

Das ist eine Hausnummer ........ auch zum hacken. Bringt aber richtig Kohle, denn es waren zusammenhängende Datensätze.

Ich werde da aber immer misstrauisch, weil ich mal selbst vor Jahren Opfer der großen Connection war und da hieß es schon damals bei den Ermittlungen, wie was hacken, viel zu umständlich, das geht einfacher, gebrannte CDs gegen Bares als Nebenverdienst.

Daher bin ich immer hin und her gerissen, wenn ich höre ein Leck oder gehackt. Denn das Problem fängt mit dem User an, der etwas eingibt, in realen Buchstaben und das Problem endet in irgendeinen Server auf der Welt, wo zig Menschen Zugriff zu haben. Tja.

Daher muss ich da immer irgendwie grinsen, sind die gebrannten DVDs aufgeflogen und nun war es ein Leck, oder ein Hackerangriff. Eben, es ist beides möglich. Ein Leck klingt dann nur besser. :-)

Aber, wir sollten uns dann überlegen, was man mit diesen Daten machen kann. Wenn die mit den geklauten Daten agieren, ist es zu mindest Identitätsklau und der ist strafbar. Über diesem Weg durfte die Kripo damals auch bei mir dann handeln und Ermittlungen aufnehmen. Alles weitere, mit fremden Daten, wird dann richtig strafbar.

Aber was geschieht heute mit den Daten ? Die meisten haben Angst, die loggen sich damit woanders ein, um Unheil über einen zu bringen. Klar gibt es solche Menschen, siehe München, hackt einen Teenager-Account, um Teenager abzuknallen. So etwas ist krank, in sich, solch ein Vorsatz dahinter.

Aber was geschieht heute, mit solchen großen Datensätze ...... ich sehe nur eines, Mail-Adressen, Werbung Spam. Wie viel sind 68 Millionen Mailadressen wert ? Ich glaube mal ein schönes Sümmchen. Denn, nur 1 % reicht zum locken, um die übern Tisch zu ziehen, um daran richtig zu verdienen.

So einfach, sehe ich das und nochmals 68 Millionen, auf einmal, ist eine Hausnummer, die 5GB sind was wert ?

Aber nun nicht frohlocken, alles ist knackbar, wenn es der erste beweist. Es ist nichts sicher.

E-Mail-Adressen sind auch an sich uninteressant, denn viele benutzen E-Mail-Provider, die super gut Spam bloggen. Aber nicht so über Hosting, der eigenen Domains, Firmendomains usw. und wer sich Webhosting erlauben kann, ist auch ein gefundenes Fressen für Werbung. Daher, was sind 68 Millionen E-Mails wert für die Werbung. :-) Wenn die eigene Anmeldung für Werbung schon Plattformen schon reale Gutscheine wert ist.

Darüber mal nachdenken, z.B. was es auch MS wert ist, was umsonst zur Verfügung zu stellen um auch damit Werbung zu betreiben und daran zu verdienen.

Nur, um es klar zu stellen, E-Mail-Adressen sind noch das Harmloseste. Noch interessanter werden deine und deine und deine eigenen Dateien, im Netz stehend, abgeglichen mit dem Inhalt deines PCs. Erst dann wird es interessant ........ für die armen RAs vielleicht ?

Und das Problem, schätze ich mal, sind nicht die Lecks, oder das Hacken ............ es ist der Nebenverdienst.

Aber das darf man doch nicht sagen, denn wir haben doch alle so lieb zu einander zu sein, nicht böse zu sein zu einander. Was nichts anderes bedeutet, spreche ja nie nicht die Wahrheit aus, denn das Gegenüber, könnte ja der Bösewicht sein, der nicht auffallen will.

Ja, Draco, es wäre knackbar mit der Menge, sogar einfacher. Aber wer will 68 Millionen User durch zahlreiche Portale hacken und wozu ?

Ich bleibe dabei, die Mail-Adressen, noch einmal 68 Millionen, sind schnell, bares Geld. Selbst bei einem Cent/St.
 
@Kruemelmonster: Hey ich bin bei dir. Kein Thema. Klar sind die 68 Millionen Datensätze eine ganze Menge Wert und die persönlichen Daten die da drin stehen sind sicherlich heikel.

Aber im Artikel ging es eben um die Passwörter. Und die sind "relativ" sicher.
Man wird vermutlich eher versuchen mehr Informationen über einzelne User zu bekommen (Big Data lässt grüßen) um lohnende Ziele zu finden, damit sich der Brute Force auch lohnt. Die Menge macht da übrigens keinen Unterschied. Wenn wenigstens ein einzigartiges Salt (wenn schon nur SHA1) pro User generiert wurde, muss wirklich jedes Passwort einzeln angegriffen werden.

Bei dem ganzen Rest gebe ich dir vollkommen Recht. E-Mail Adressen oder auch Namen, vielleicht noch mit Geburtsdatum, dürften schon genug Schaden anrichten können. Die lassen sich nicht so leicht ändern =)
Und die kann man im Prinzip kaum absichern, wenn schon ein Zugriff auf die DB erfolgt ist.
 
@Draco2007: "Also muss man solange Passwörter mit dem Salt hashen bis man eine Kollision erzeugt."

Was ohne das Salz zu kennen nicht geht. Merkst was?
 
@karstenschilder: Und wie stellst du es an, dass du das Passwort des Users auflösen kannst, wenn du das Salt nicht im Klartext vorliegen hast?
Das Salt ist eine anerkannte Technik, ich habe sie selbst schon implementiert und dabei einige wissenschaftliche Arbeiten dazu gelesen. Das Salt WIRD im Klartext mit den anderen Userdaten gespeichert. Absoluter Standard. Nur der SHA1 Hash wird als veraltet und unsicher angesehen.

Das Salt sorgt dafür, dass nicht alle User kompromittiert werden, selbst WENN ein Zugriff auf die Datenbank erfolgt. Einen Brute Force kann ich im Prinzip auch ohne DB Hack versuchen...

Es gibt eine Technik, bei der ein geheimer Zusatz zum PW verwendet wird. Nennt sich Pepper (ja ich weiß, lustiger Wortwitz). Hierbei wird, wenn ich es noch richtig im Kopf habe, NACH dem Hash noch etwas addiert. Einzigartig pro Datenbank (nicht Datensatz) und ist in JEDEM Fall geheim zu halten. Wird afaik über Hardware-Dongles gelöst.
Ist aber alles andere als Standard.

Und nochmal...nimm einen guten Hash, der lange genug dauert und der Brute Force ist sinnlos, da es Jahre dauert um einen einzelnen User anzugreifen...
 
tja, nicht sehr vertrauensfördernd das Vorgehen von Dropbox. Dass man erst nach 4 Jahren damit an die Öffentlichkeit geht bzw. gehen muß zeigt dass man es am liebsten ganz verschwiegen hätte...ich denke aber wenn es jemand geschafft hätte sich tatsächlich Zugang zu meiner Dropbox zu verschaffen dann hätte ich das inzwischen durch irgendeine Attacke mitbekommen. Inzwischen ist in meiner Dropbox alles mit Boxcryptor verschlüsselt. Toi toi toi, bisher hatte ich noch nie verdächtige Aktivitäten....
 
So sicher ist eben die Cloudwelt... Cloud: Ohne mich!

Und was heute als unknackbar gilt .. Ist in 5 Jahren schon geknackt und man erfährt es in 10 Jahren, dass es geknackt worden ist..
 
@gettin:

Warum bekommst du Minus, von mir ein Plus.

4 Jahre wurde verschwiegen, 68 Millionen Datensätze ..... anderweitig verwertet ...... als Betreiber wäre ich auch stinkig, aber so was von.
 
@gettin: Was hat das mit Cloud zu tun? Außer dass hier ein Server genutzt wurde.
Da könnte auch die Winfuture DB oder eine beliebige andere DB gehackt worden sein.

Wenn du sagst "Cloud: Ohne mich" wieso bist du dann auf Winfuture? Das läuft auch auf einem Server im Internet. (das Internet ist die "Cloud") und kann genauso angegriffen werden...
 
@Draco2007: Wenn man seine Daten in der Cloud hat und der Anbieter wird gehackt, hat der Angreifer Zugriff auf alle deine Daten und die von Millionen anderen Nutzern. Wenn der Angreifer Winfuture hackt, hat er dort meinen Usernamen und mein Passwort. Im Gegensatz zum ersten Szenario kann mir das aber völlig egal sein.

Ein gezielter Angriff nur auf meinen lokalen Computer ist für Angreifer relativ aufwändig und er hat nur Daten von einem einzigen Nutzer. Angriffe auf Cloudanbieter sind da wesentlich gewinnbringender.

DAHER CLOUD: OHNE MICH!
 
@gettin: Wenn die Passwörter mit Salt und einem guten Hash gesichert sind haben die Angreifer KEINEN Zugriff auf deine Daten. Vorausgesetzt die Daten befinden sich an einem anderen Ort als die User-Datenbank. Was aber anzunehmen ist, da die Datenmengen von 68 Millionen User etwas mehr als eine kleine DB ist.

Und dann bleibt immer noch die Möglichkeit etwas wie Box-Crypt einzusetzen, was aus der Dropbox nichts weiter als einen verschlüsselten Container macht. Damit kommt niemand mehr an die Daten, selbst wenn jemand Zugriff auf die wirklichen Daten hat.

Zudem gehören sensible Daten wirklich nicht in einen Cloud-Speicher. Bei mir hätte der Angreifer Zugriff auf meine Wallpaper Sammlung, ein paar Fotos, Savegames und meiner AES 256 verschlüsselten KeePass DB...
 
@Draco2007: <<<Zudem gehören sensible Daten wirklich nicht in einen Cloud-Speicher. >>>

und genau das widerspricht nämlich der These "alles so sicher". Ist es nämlich nicht und der Spruch "teile deine Daten mit der ganzen Welt" kann schneller wahr werden, als es einem lieb ist.
 
@Kruemelmonster: Wer hat denn diese These aufgestellt?

Der eigentliche Satz lautet NICHTS IST SICHER. 100%ige Sicherheit kann es nicht geben. Und selbst wenn es keinen Angriff auf den Cloud-Speicher Anbieter gibt, so hat immer noch der Anbieter selbst Zugriff auf die Daten, deshalb der Rat mit den sensiblen Daten.
 
@Draco2007:

Wird doch immer behauptet, alles sooooo sicher und alle die dagegen anreden, sind sooooo was von behämmert.

Nur, die Realität zeigt immer wieder auf, wie doch im Grunde unsicher es in sich ist.
 
Als Entschädigung gibts mehr Speicherplatz für alle Betroffenen.... .
 
@Smoke-2-Joints: yayy :D
 
Ist das deren Ernst? Nach 4 Jahren geben die eine Warnung raus? Und nach sowas wollen die mit "Sicherheit und Integrität" werben? Ich hoffe, die werden in die Pleite geklagt, denn sowas geht gar nicht. Das es niemals 100% Sicherheit gibt ist klar. Aber wenn denn mal etwas passiert, sollten die Kunden sofort darüber informiert werden.
Kommentar abgeben Netiquette beachten!