Auf der einschlägig bekannten Plattform Pastebin.com hat ein oder hat eine Hacker/Hackerin Username/Password-Kombinationen von Dropbox-User(inne)n gepostet – und zwar als „Teaser“, als „Appetizer“ – die komplette Liste von angeblich insgesamt 7 Millionen Accounts soll nämlich erst herausgerückt werden, wenn genügend User ihre „Unterstützung“ per Bitcoin-Spende dokumentiert haben – zunächst belief sich das Interesse allerdings nur auf 0,03 Euro-Cents.
Dropbox selbst sagt: „Unsere Server sind nicht gehackt worden, die eventuellen Probleme kommen von ‚Drittanbietern'“ – so ähnlich wie beim „Snappening“ vielleicht ? Wenn nämlich die API, die Authentifizierungs-Schnittstelle gehackt oder reengineert worden ist, dann hat Dropbox (wie Snapchat…) ein Riesen-Problem. Die veröffentlichten Accountdaten seien auch nicht mehr gültig oder nie gültig gewesen, sagt Dropbox – aber erstens berichten einige Reddit-User, manche Kombinationen aus Username/Passwort hätten durchaus zunächst funktioniert. Auch im Dropbox-Blog schreiben Anwender, sie hätten ihre (sogar exklusiv für Dropbox verwendeten…) Account-Daten auf den Pastebin-Listen wiedergefunden.
DRadio Wissen · Liveblog: Flüchtlinge müssen unter freiem Himmel schlafen.
DRadio Wissen – Schaum oder Haase vom 14.10.2014
Und auch meine eigenen „stichprobenartigen“ Recherchen zeigen: einzelne „geleakte“ Dropbox-Account-Daten waren definitiv zumindest zeitweise gültig. Und sie passen sogar in Einzelfällen für die Mailaccounts von Anwender(inne)n, die Usernamen/Passwort eben nicht nur für Dropbox benutzt haben – ein häufiger, aber nicht ratsamer Lapsus 🙁 .
Eine betroffene Anwenderin hat mir berichtet, sie habe eine Mitteilung von Dropbox erhalten, ihr Passwort sei geändert worden – und zwar von einem iPhone aus, das sie gar nicht besitzt.
Des Rätsels Lösung: auf Pastebin, wo der oder die „böse“ Hacker(in) die Passwörter gepostet hat, hat auch ein „guter“ Hacker reagiert – und zwar mit einem Script, einem kleinen Programm, das die geouteten Accounts bei Dropbox mit einem zufällig generierten neuen Passwort versehen hat – nach dem Motto: „besser die legitimen Account-Inhaber temporär aussperren (die sich ja ein neues Passwort einrichten können…), als irgendwelchen Kiddies Zugriff auf die Accounts zu gestatten…“
Die geposteten Account-Daten sind also nicht (oder definitiv nicht komplett…) gefaked, und auch nicht so irrelevant wie Dropbox behauptet – wo aber die eigentliche Sicherheitslücke besteht, das ist immer noch unklar… Aber das wird schon bald etwas klarer sein, vermute ich…
Fazit: wo immer auch die Daten herstammen, und egal, ob tatsächlich 7 Millionen Accounts betroffen sind – das Dropbox-Passwort zu ändern (und dabei auch gleich die 2-Wege-Authentifizierung zu aktivieren…) ist auf jeden Fall eine sehr gute Idee. Und Fazit 2: Ein und dieselbe Username/Passwort-Kombination (und vor allem noch die des Mailaccounts, wo ja die Infos der übrigen Accounts meist zusammenlaufen…) bei verschiedenen Web-Diensten zu verwenden, ist eine sehr schlechte Idee.
DRadio Wissen · Luftangriffe: Die Türkei, die Kurden und die PKK.
DRadio Wissen – Schaum oder Haase vom 15.10.2014