68 Mio. Dropbox-Passwörter gestohlen – was Sie wissen müssen

Hacker haben 68 Millionen Account-Anmeldedaten von Dropbox seit 2012 gestohlen. Hier lesen Sie, was Sie jetzt tun sollten.

Diese Woche schrieb mein Kollege Chris von Threatpost einen Artikel dazu, wie Dropbox User zum Löschen ihrer Passwörter, die seit 2012 nicht geändert wurden, zwang. Zum Zeitpunkt seines Posts nannte Dropbox diesen Entschluss eine „rein präventive Maßnahme.“

68M Dropbox passwords stolen — what you need to know

2012 war Dropbox das Opfer einer Sicherheitslücke, die Nutzern dieses Dienstes Kopfzerbrechen und Spam brachte. Vier Jahre später wurde das volle Ausmaß der Lücke sichtbar, nachdem ein Cache von Nutzeranmeldedaten von Dropbox online entdeckt wurde. Letzte Nacht berichtete Motherbaord, dass die Datenbanken, die in der Datenbankhandelscommunity umhergehen, echt waren und mehr als 68 Millionen Dropbox-Accounts enthielten.

Im Post berichtet Motherboard, dass Dropbox keine Anzeichen für bösartigen Accountzugriff sah. Von den mehr als 68 Millionen Accounts sind 32 Millionen mit bcrypt gesichert; der Rest ist mit SHA-1 gehashed.

Was bedeutet das?

Laut dem Bericht von Motherboard ist der Daten-Dump von Dropbox aktuell nicht auf den größten Schwarzmärkten gelistet, wahrscheinlich, weil richtig geschützte Passwörter einen geringeren Wert für Cyberkriminelle haben. Dadurch, dass sich die Story noch immer entwickelt, rate ich dazu, Threatpost zu beobachten; sie berichten zu dem Thema, sobald es etwas Neues gibt.

68M Dropbox passwords stolen — what you need to know

Was sollten Sie tun?

Im großen Ganzen ist diese Lücke nur eine weitere Schwachstelle, die der stets wachsenden Liste von Datenlücken auf Megasites hinzugefügt werden kann. Hinzu kommen LinkedIn, MySpace, Tumblr, OKCupid und Spotify (x2), und viele andere. Kriminelle finden einen Wert in Account-Zugangsdaten, und wir wissen dass Hacker hacken, also müssen wir als Bürger der digitalen Welt stärker darauf achten, wie wir unsere digitalen Leben sicherer machen können. Wie bei jeder größeren Datenlücke, werden wir die Trommel mit fünf grundlegenden Tipps für Onlinesicherheit rühren:

1. Verwenden Sie sichere Passwörter und ändern Sie sie regelmäßig. Sind wir uns alle darin einig, dass es keine gute Idee ist, dasselbe Passwort über vier Jahre zu verwenden? Davon abgesehen, sollten Passwörter einfach zu merken und sicher sein (verwenden Sie unser Tool zur Passwortüberprüfung, um den Umgang mit sicheren Passwörtern zu üben).

Es ist auch eine gute Faustregel, Ihre Passwörter auf häufig genutzten Seiten regelmäßig zu ändern. Denken Sie an Online-Banking, Facebook, LinkedIn und Ihre persönliche Haupt-E-Mail-Adresse. Wenn Sie der Gedanke an die Erstellung, Änderung und Erinnerung von Passwörter abschreckt, ziehen Sie die Verwendung eines Passwortverwaltungstools, wie Kaspersky Password Manager, in Betracht.

2. Alte Accounts löschenAls wir im Mai über Myspace berichteten, war eine beliebte Reaktion im Chat: „Moment, benutzen die Leute noch immer Myspace?“. Nun, nicht viele, aber viele ungenutzte Accounts existieren noch immer. Die kostenlosen Accounts wurden 2000 eingerichtet und dann ganz einfach vergessen, als Twitter und Facebook auftauchten und den damaligen Spitzenreiter der der sozialen Netzwerke verdrängten.

Eine gute Faustregel ist, sich aller Accounts zu entledigen, die nicht mehr aktiv genutzt werden. Der Grund dafür ist, dass, wenn Sie Ihren Account nicht aktiv verwalten – und regelmäßig Ihr Passwort ändern – Sie sich einem Risiko aussetzen, besonders, wenn Sie für gewöhnlich Ihre Passwörter wiederverwenden..

3. Übrigens: Verwenden Sie Passwörter nicht mehrmals. Ich habe es bereits mehrmals erwähnt, aber es verdient seinen eigenen Punkt. Verwenden Sie einfach keine Passwörter mehrmals. Sicher sind dadurch einige Dinge einfacher, aber stellen Sie sich vor, dass das Passwort, das Sie in einer My Little Pony-Community benutzen, gestohlen wurde, und dadurch in Ihren Bankaccount eingedrungen werden kann.

4. Aktivieren Sie eine Zwei-Faktor-Authentifizierung. Die meisten Onlinedienste verbessern die Sicherheit der User durch Anbieten von Zwei-Faktor-Authentifizierung. Sie verwenden App-Überprüfung oder SMS, um sicherzustellen, dass die Person, die versucht, auf einen Account zuzugreifen, die für den Gebrauch des Accounts autorisierte Person ist. (Hinweis: Dropbox bietet diese Option.)

5. Nehmen Sie sich vor Drittintegration in Acht. Mit vielen Onlinediensten, wie Facebook und Dropbox, können Sie mit Diensten Dritter eine Verbindung für Extrafunktionen, wie das Teilen von Fotos und Wettstreiten mit Freunden in Spielen erstellen. Die Integration macht das Leben oft einfacher (und könnte bedeuten, dass man sich an keine Passwörter erinnern muss). Der Nachteil dieser erleichterten Benutzung sind mehr potentielle Fehlerstellen, wenn es zur Sicherheit kommt. Sicherlich können Sie mit App X Zeit sparen, wenn Sie Updates teilen, aber werden dadurch die Schlüssel zu Ihrem digitalen Schloss ausreichend gesichert?

Denken Sie genau nach, bevor Sie Dienste verbinden. Ist es wichtig, ein Login zu benutzen – oder einen anderen Account zu erstellen? Die Antwort darauf liegt bei jedem User, aber die Frage muss ernsthaft betrachtet werden.

Abschließend ist die Datenlücke von Dropbox nur ein weiteres Aha-Erlebnis und ein wichtiges Beispiel dafür, wie Kriminelle weiterhin digitale Identitäten im Auge haben. Wir legen Ihnen wärmstens ans Herz, die oben genannten Tipps zu befolgen und regelmäßige Sicherheitshygienechecks durchzuführen. Wir haben einige Sicherheitssysteme und –Schlösser für unser irdisches Leben; und wir sollten in unserem digitalen Leben genauso aufmerksam sein.

Tipps