Da sich User beschwerten, sie würden SPAM an Adressen erhalten, die sie ausschließlich für Dropbox verwenden würden, kam ein Datenleck bei Dropbox ans Licht. Der Fall zeigt auch wieder, dass Datensicherheit bei Cloud-Anbietern nicht nur die Nutzer solcher Dienste betrifft, sondern jeden. Auch wird wieder mal eindrucksvoll bewiesen, warum nan für jeden Dienst ein eigenes – und sicheres – Passwort verwenden sollte. Die gute Nachricht: Es gab keinen direkten Einbruch bei Dropbox.
Ein Dropbox-Mitarbeiter hatte ein Dokument mit eMail-Adressen von Nutzern in seiner Dropbox abgelegt auf das Dritte Zugriff erhielten. Das Passwort für den Zugriff auf seine Dropbox stammte von einem anderen, nicht genannten Dienst, bei dem der Mitarbeiter das gleiche Passwort verwendete wie für seine Dropbox. Die bei diesem Zugriff erbeuteten eMail-Adressen wurden dann für den SPAM-Versand genutzt. Auch auf eine „kleine Zahl“ Dropbox-Accounts anderer User wurde über auf anderen Websites erbeutete Passwörter zugegriffen, diese User wurden informiert und bei der Sicherung ihres Accounts unterstützt.
Dropbox hat neue Maßnahmen angekündigt und eingeführt, um solche Zugriffe in Zukunft besser zu erkennen und zu verhindern:
- in einigen Wochen soll optional eine Two-Factor Authentication möglich sein, bei einem Login müsste man sich dann also zusätzlich zum Passwort noch mit einem temporären Code authentifizieren, der an das Handy geschickt wird – Facebook bietet diesen Weg zum Beispiel schon an, wenn man sich von einem Gerät das erste Mal anmeldet
- weitere, nicht näher beschriebene Mechanismen, um „verdächtige Aktivitäten“ zu identifizieren
- eine neue Übersichtsseite zeigt den Nutzern alle Zugriffe auf die eigene Dropbox
- in einigen Fällen sollen User in Zukunft ihr Passwort ändern müssen, zum Beispiel zu einfache Passwörter oder wenn es zu lange nicht vom User selbst geändert wurde
Diese Maßnahmen können sicher ein Stück weit helfen, können aber auch keine 100%ige Sicherheit gewährleisten. Wie in diesem Fall eindrucksvoll bewiesen, ist eine der größten Schwachstellen der Systemsicherheit der Faktor Mensch. Zum einen sollte jeder auf die Sicherheit der eigenen Passwörter achten und sich vor allem auch gut überlegen, welche Daten man Cloud-Anbietern unverschlüsselt anvertrauen kann und möchte.
Quelle: Dropbox Blog
