Reale Gefahr
Und dabei handelt(e) es sich nicht nur um die E-Mails bzw. Nutzernamen, sondern auch um die Passwörter. Diese sollen zwar nur als Hashes vorliegen, davon aber etwa die Hälfte per SHA1-Hash mit Salt, was eine reale Gefahr mit sich bringt, dass diese entschlüsselt werden können bzw. worden sind (ein Teil ist mit bcrypt gesichert).Dropbox hatte vergangene Woche überraschend seine Nutzer informiert, wonach diese ihr Passwort ändern sollten, sofern sie das in den letzten vier Jahren nicht getan haben. Motherboard wurde daraufhin neugierig und fand heraus, dass Unbekannte 2012 eine 5GB große Datei an Daten bei Dropbox entwendet haben (schuld war wohl ein Dropbox-Mitarbeiter, der ein und dasselbe Passwort bei LinkedIn sowie am Arbeitsplatz eingesetzt hat).
Den Motherboard-Bericht bestätigte wenig später der Sicherheitsexperte Troy Hunt, dieser betreibt die bekannte Seite Have I been pwned (HIBP), auf der man überprüfen kann, ob eine Mail in geklauten Datensätzen auftaucht. Troy betitelt seine Analyse kurz und bündig: "Der Dropbox-Hack ist echt." Bisher sprach Dropbox lediglich von einem Datenleck, das nur einige wenige Nutzer betroffen hat.
Patrick Heim, Sicherheitschef von Dropbox, verwies auf die Tatsache, dass die Passwörter vergangene Woche zurückgesetzt worden sind und für Dropbox keine unmittelbare Gefahr besteht. Wer die Nutzer/Passwort-Kombination auf anderen Seiten im Einsatz hat, der sollte diese dort aber alsbald ändern.
Vielen Dank an WinFuture-Leser Agassiz und achilleus für den Hinweis.