Dropbox setzt Passwörter aus dem Jahr 2012 und davor zurück
Der Cloud-Speicher-Dienst fordert aktuell einige Nutzer dazu auf, ihr Dropbox-Kennwort zurückzusetzen und neu zu vergeben. Hintergrund ist ein Datenleck aus dem Jahr 2012.
Dropbox-Nutzer die sich bis Mitte 2012 für den Cloud-Speicher-Dienst angemeldet haben und seitdem ihr Passwort nicht geändert haben, sollten dies nun tun. Das rät der Dienst verschiedenen Account-Inhabern per E-Mail; zudem weist eine Meldung beim Log-in darauf hin.
Wer eine entsprechende E-Mail erhält, aber beim Log-in nicht zu einem Passwort-Wechsel aufgefordert wird, muss auch keinen Wechsel vornehmen, versichert Dropbox.
Dem aktuellen Hinweis liegt ein Datenleck aus dem Jahr 2012 zugrunde. Sicherheitsforscher von Dropbox sind eigenen Angaben zufolge erst jetzt auf die damals von Unbekannten abgezogene Liste mit Nutzer-Daten gestoßen. In dieser Liste sollen sich E-Mail-Adressen und geschützte Passwörter (gehashed und salted) befinden. Welche Hash-Funktion zum Einsatz kam, ist derzeit nicht bekannt.
Anscheinend keine Accounts kompromittiert
Dropbox geht davon aus, dass es keine unbefugten Zugriffe auf Accounts gegeben hat. Es handele sich beim Zurücksetzen der Passwörter um eine rein präventive Sicherheitsmaßnahme. Wer sein Dropbox-Kennwort auch für andere Online-Dienste nutzt, sollte auch für diese eine neues Passwort vergeben.
Wer seinen Dropbox-Account noch mehr absichern will, sollte die Zwei-Faktor-Authentifizierung aktivieren. Dann könnte sich ein Angreifer auch dann nicht einloggen, wenn er eine E-Mail-Adresse nebst passendem Passwort kennt: Der zweite Faktor in Form eines Sicherheitscodes ist für eine erfolgreiche Anmeldung unabdingbar. Dieser Code wird etwa per SMS verschickt und zusätzlich zum Passwort abgefragt. (des)