Dropbox-Hack nun offiziell bestätigt

1. August 2012, 10:01
  • Dropbox verstärkt nach dem Hack seine Sicherheitsmaßnahmen
    screenshot: derstandard.at

    Dropbox verstärkt nach dem Hack seine Sicherheitsmaßnahmen

Gestohlene Mailadressen von zahlreichen Usern führten zu Spam-Flut

Wie schon vor Wochen vermutet, jedoch nicht bestätigt, wurde Dropbox zum Opfer eines Hacks. Geäußert hat sich das vor allem darin, dass zahlreiche E-Mail-Adressen von Usern geleakt wurden. Geführt hat das zu einer Spam-Flut bei den betreffenden Usern.

Gestohlenes Passwort eines Mitarbeiters

Nun vermeldet AllThingsD, dass Dropbox die Kompromittierung der User-Accounts offiziell zugegeben hat. Gelingen konnte das einem Hacker durch ein gestohlenes Passwort eines Dropbox-Mitarbeiters. Mit dem Zugang zu firmeninternen Dokumenten konnten die E-Mail-Adressen von zahlreichen Usern ausgemacht werden. Da die User den Spam auf E-Mail-Adressen bekommen haben, mit denen sie sich bei Dropbox angemeldet haben, lag der Verdacht recht nahe.

Mehr Sicherheit

Dropbox bekräftigt in einem Blogpost, in Zukunft mehr zur Sicherheit bei Dropbox beizutragen. Eine Zwei-Wege-Authentifizierung wird, ähnlich wie es sie zum Beispiel bei Google gibt, bereits eingeführt. Eine weiterer Kontrollmechanismus soll "auffällige Aktivitäten" ausmachen und so besser vor Angriffen schützen. (iw, derStandard.at, 1.8.2012)

Share if you care
Posting 1 bis 25 von 33
1 2

und was soll da hacken sein ? Ist ein einfacher Diebstahl...

Naja

Mittlerweile muss man ja froh sein, dass es nur die E-Mailadressen waren. Keine Passwörter oder Daten aus Accounts. Zum Glück nicht so wild.

Vl. passt das als neues Dropbox Logo?

http://goo.gl/ftHm6

"geleakt"

So ein deppertes Wort.

ich muss immer wenn ich diese neudeutsche Wortschöpfung höre, an Lauchcremesuppe denken - und die mochte ich noch nie...

da lob ich mir meine owncloud instanz.

ein traum, vor allem bei der zusammenarbeit mit anderen....NOT!

na wieviele personen werden sie im berufsleben treffen, die sich auf ihrer owncloud instanz wegen fehlendem user nicht anmelden können/wollen? da ists mit shares pro projekt bald schluss.

Wieviele wirst du treffen die sich bei einem Projekt nicht irgendwelchen dubiosen Anbietern wie Dropbox anmelden wollen, weil die Daten einfach nicht sicher sind?

bis jetzt: 0

wer dropbox als dubios bezeichnet glaubt noch immer, dass er mit einem standard-halbtags-sysadmin die geschäftsgeheimnisse besser schützen kann als über dropbox. das gelingt nicht mal mit vollzeitkräften. oder wissen sie von einem fall wo daten von usern bei dropbox gestohlen wurden?

Dropbox hatte mal unzählige Daten frei im Netz stehen, wenn Sie klug sind und es für ihre Firma benötigen legen Sie sich bitte eine eigne Cloud zu, Dropbox liegt auf einem Amerikanischen Server, sicher ist dort gar nix, und die Fehler bezüglich sicherheit häufen sich.

Nachher ned jammern wenn ihre Idee plötzlich wer anderer hat;-)

na klar, wir legen unsere top-secure-daten alle auf dropbox, was sonst? außerdem in den public folder, unverschlüsselt, das ist alles viel zu mühsam mit den shares und so.

zwischen schwarz und weiß ist verdammt viel platz für farben, wirklich.

es geht ums Prinzip, wenn ein Unternehmen sagt es hat die Daten sicher aufbewahrt, dann aber diese ungesichert im Netz herumschwirren, oder einfach mal ein paar E Mail Adressen gestohlen werden können!

ich weis das zB bei Dropbox auch Truecrypt funktioniert, würde es jedem empfehlen.

Ein Seriöse Firma verwendet mM immer noch ihr eignes Netzwerk, aber das darf ja jeder selbst entscheiden; hängt wsl auch davon ab wie wichtig die Daten sind und wie hoch das Risikos eines Datenklaus durch die Konkurrenz ist...

also da bin ich voll bei ihnen. nur: das, was dort passiert ist, kann ihnen auch auf ihrer eigenen infrastruktur passieren, das war ein fehler des mitarbetieter.

Dropbox verschlüsselt nichts: das belegt der aktuelle Fall
Dropbox legt Userdaten (zumindest Email Adressen) in einem Dropbox Fach ab, das ist krank.

Zuhause kann ich:

Daten verschlüsselt übertragen und auch speichern. Auch wenn sich dann jemand Zugang zum Server verschafft sind die Daten unbrauchbar.
Bei einem 08/15 Gratis-Provider würde ich auf keinen Fall Projektdaten für eine Firma lagern.

Und ja, es wurden Daten gestohlen. Hast du den Artikel nicht gelesen?

ich glaub eher sie haben den artikel nicht gelesen, oder zumindest nicht verstanden. es wurden die emailadressen einiger user gestohlen, aber keine daten der user. das ist schon ein gravierender unterschied. die daten liegen am server ebenso verschlüsselt und sind ohne das kennwort nicht lesbar, genau so wie bei ihrem system. ebenso ist die übertragung verschlüsselt.

und ob ihr server zuhause so sicher ist, naja, wer's glaubt. wünsche ich ihnen, aber glauben sie wirklich, dass das ein 08/15 task für jeden ist?

email Adressen sind also keine Daten? Aha.

Lies mal genau nach. Vielleicht auch z.b. auf heise.de

Die Adressen wurden von einem Mitarbeiter aus dessen Dropbox Account gestohlen. Das ist eine Katastrophe.
Und draufgekommen ist man nur, weil User Spammails bekommen haben und das ganz klar zu Dropbox zurückverfolgen konnten -> eigene Mail Adresse nur für Dropbox.

Woher weißt du daß die Daten bei Dropbox verschlüsselt gespeichert sind? Spekulation?

Und nein, nicht jeder muss sich selbst einen Serve aufsetzen. Aber wenn ich geschäftlich mit Datenaustausch zu tun habe, setze ich mich sicher nicht irgendeinem dahergelaufenem Gratis Anbieter aus.
Genauso wie hoffentlich keine seriöse Firma als Geschäftsadresse nicht FirmaX@gmx.at hat.

man stelle sich vor, da hat einer, weil er user und kennwort des mitarbeiters wusste, tatsächlich eine liste von emailadressen, die der mitarbeiter dort abgelegt hat, ergattert. ja, das klingt wirklich nach einem substanziellen fehler in der dropbox-architektur. wie, glauben sie, kann man sowas verhindern? wenn der mitarbeiter so blöd ist und das dort ablegt, und dann offenbar sein kennwort entweder leicht auffindbar ist oder irgendwem mitteilt, dann kann ihnen das genau so auf einem selbst gehosteten system passieren!

Wie vertrauenswürdig ist eine Firma mit Mitarbeitern die entweder einfache Passwörter verwenden, bzw. diese hergeben.
Und noch dazu Firmendaten/Kundendaten in einem von außen erreichbaren Webspace ablegen. Für mich ein absolutes NoGo.
Genauso wie die dämliche GIS ihre/unsere Daten einfach erreichbar deponiert hat(te).

sie sind so herrlich naiv, das gefällt mir irgendwie! wie halten sie 500 mitarbeiter davon ab, solche daten auf ihrer owncloud abzulegen, egal ob privat oder beruflich? sowas lässt sich NIE, und nochmal weil es so schön ist, NIE verhindern. wirklich NIE!

Ach ja. Wenn ich als Unternehmen (sensible) Daten mit anderen austausche, und das selbst mit meiner eigenen "Cloud" mache, dann hab ich es selbst in der Hand.
Bei Dropbox ist man komplett irgendwem, irgendwo in den USA ausgeliefert. Was auch immer dort mit den Daten noch gemacht wird. Sowohl mit den Logindaten als auch die im Onlinespeicher.

sorry falsch gepostet (sch... smartphones)

manche poster sind wirklich süß, so wie sie! also: daten die bei dropbox liegen SIND verschlüsselt abgelegt - ohne benutzerkennwort kommt auch ein root nicht ran, oder auch kein hacker. ausnahme: dateien im public-folder.

und bzgl. it und auskennen: sollten sie um die 20 sein dann hab ich schon in der it gearbeitet als sie noch in die windln geschissen haben.

Doch. Zb. wenn die Daten von Haus aus verschlüsselt sind. Dann kann ich auch als root nicht einfach so auf den Klartext zugreifen. Es gibt noch diverse andere Möglichkeiten, Zugriffskontrollen z.b.

Und weils so schön ist: du hast keine Ahnung von IT, keine, wirklich keine.

Posting 1 bis 25 von 33
1 2

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.