Laut Techcruch hatten sich Cyberkriminelle aktuell Zugang zu der Dropbox eines Mitarbeiters des Cloud-Storage-Unternehmens verschaffen. 2015 behaupteten Hacker bereits, rund 7 Mio. Zugangsdaten entwendet zu haben, Dropbox dementierte jedoch vehement. Sicher ist jedoch, dass im Jahr 2013 Dropbox einen schwerwiegenden Fehler begangen hatte und sich jedermann über einen bereitgestellten Code in Dropbox-Konten einloggen konnte. Im gleichen Jahr wurde eine Sicherheitslücke in der Android-Version von Dropbox publik. Beide Lücken wurden schnell geschlossen.
Dropbox warnte ihre User vor einigen Tagen — wahrscheinlich nicht zufällig — vor einem unnötigen Sicherheitsrisiko, betonte aber, dass die Aufforderung reine Passwort-Routine sei und es bislang keinen Hinweis auf Datenmissbrauch gäbe. Das Unternehmen unterstrich, regelmäßig nach Gefahren für ihre Nutzer zu suchen und auf einen alten gehackten Datensatz aus dem Jahr 2012 gestoßen zu sein. Dropbox forderte Nutzer mit mehrere Jahre alten Zugangsdaten auf, beim nächsten Log-in ihre Account-Daten zu aktualisieren. Dropbox setzt auf Zwei-Faktor-Authentifizierung und unterstützt seit letztem Jahr mit USB-Schlüsseln, die dem Standard der FIDO Alliance entsprechen. Positiv: Eintippen ist nicht nötig, der Schlüssel kann nicht kopiert, gestohlen oder abgefangen werden.
Spotlight: Edward Snowden über Dropbox
In einem Interview mit der britischen Zeitung The Guardian hatte der weltweit wohl bekannteste Whistleblower 2014 alle User aufgefordert, Dropbox wegen Gefahren für die Privatsphäre zu meiden. Der US-Speicherdienst sei ein beliebtes Ziel für die Spähangriffe der NSA — unter anderem, weil sämtliche Mitarbeiter von Dropbox unverschlüsselten Zugang auf alle Nutzerdaten des Dienstes hätten. Dropbox sei ein „Wunschpartner“ des Ausspähprogramms Prism. Dropbox hatte sich damals gegen die Vorwürfe zur Wehr gesetzt.
Snowden empfahl, ausschließlich auf Cloud-Anbieter zu setzen, die eine „Zero-Knowledge-Technologie“ verwenden und bei der ausgeschlossen sei, dass Anbieter Zugriff auf die User-Daten haben. Ein Anbieter, den Snowden positiv erwähnt ist Spideroak. Hier werden die Daten bereits auf dem Rechner der Nutzer verschlüsselt und Passwörter nicht auf eigenen Servern abgelegt. Darüber hinaus bekennt sich Spideroak explizit zum Widerstand gegen Eingriffe der Regierung.
Weiterführende Links zum Thema Dropbox und Cloud-Lösungen
Auf Wolke 7? So sind Ihre Daten sicher und verschlüsselt in der Cloud
Techcruch: Dropbox employee’s password reuse led to theft of 60M+ user credentials