Der Angriff im Überblick
Am 31. August 2016 bestätigte Dropbox, dass ein lange unentdeckter Angriff Millionen Nutzer betraf. Insgesamt wurden Daten von 68 Millionen Konten kompromittiert. Die eigentliche Attacke stammte aus dem Jahr 2012, war jedoch erst durch die Veröffentlichung der Daten in Untergrundforen vier Jahre später in ihrem vollen Ausmaß bekannt geworden.
Die Datenbank enthielt E Mail Adressen und gehashte Passwörter von Millionen Nutzern. Besonders brisant war, dass viele Nutzer die gleichen Passwörter auch für andere Dienste verwendeten. So konnte der Dropbox Leak als Sprungbrett für weitere Kontoübernahmen dienen.
Entstehung des Leaks
Die Angreifer hatten 2012 über kompromittierte Mitarbeiterkonten Zugang zum internen Netzwerk erhalten. Aus diesem Zugriff heraus erbeuteten sie eine große Sammlung von Nutzerdaten. Damals war der Vorfall nur teilweise bekannt geworden, da Dropbox eine Passwortzurücksetzung für eine kleinere Gruppe an Accounts anordnete. Erst als 2016 große Teile der Daten in einschlägigen Foren auftauchten, wurde deutlich, dass der Angriff weitaus größer gewesen war.
Dropbox erklärte, dass die Passwörter zum Zeitpunkt des Leaks mit dem Hash Verfahren bcrypt gesichert waren, ein vergleichsweise starkes Verfahren. Allerdings enthielt die Sammlung auch ältere Datensätze, die mit dem schwächeren SHA 1 Verfahren gehasht waren, was zusätzliche Risiken bedeutete.
Entdeckung und Offenlegung
Im Sommer 2016 berichteten Sicherheitsforscher und Plattformen wie „Have I Been Pwned“ erstmals von einer massiven Dropbox Sammlung im Umlauf. Daraufhin leitete Dropbox eine großangelegte Passwortzurücksetzung ein, die alle Nutzer betraf, die ihr Passwort seit 2012 nicht geändert hatten. Am 31. August bestätigte das Unternehmen öffentlich das Ausmaß des Mega Leaks.
Der Fall unterstrich die Gefahr, die von alten, lange unentdeckten Datenpannen ausgeht. Viele Nutzer waren sich jahrelang nicht bewusst, dass ihre Daten kompromittiert worden waren. Angreifer nutzten diese Zeit, um Accounts zu übernehmen oder Identitätsdiebstahl zu betreiben.
Folgen für Nutzer
Die kompromittierten Daten stellten ein erhebliches Risiko dar. Viele Nutzer recyceln Passwörter, wodurch das Leck nicht nur Dropbox, sondern auch zahlreiche andere Dienste betraf. Angreifer konnten die Zugangsdaten automatisiert bei Mail Konten, sozialen Netzwerken oder Shopping Portalen testen.
Dropbox riet allen Nutzern, sofort neue, starke Passwörter zu setzen und die Zwei Faktor Authentifizierung zu aktivieren. Experten empfahlen zudem die Nutzung von Passwort Managern, um die Wiederverwendung von Passwörtern zu vermeiden.
Auswirkungen auf Dropbox
Für Dropbox kam der Vorfall zu einer sensiblen Zeit. Das Unternehmen bereitete sich 2016 auf einen möglichen Börsengang vor und musste beweisen, dass es sensible Daten sicher verwalten kann. Der Leak belastete das Vertrauen vieler Nutzer, auch wenn die Passwörter zum größten Teil verschlüsselt waren.
Gleichzeitig hob der Fall hervor, dass Sicherheitsvorfälle oft Jahre später ans Licht kommen. Unternehmen können sich nicht allein auf die Vergangenheit verlassen, sondern müssen Datenlecks langfristig monitoren und erkennen.
Vergleich mit anderen Vorfällen
Der Dropbox Mega Leak reiht sich in eine Serie von Massenhacks ein, die in den Jahren 2012 bis 2016 bekannt wurden. Dazu zählen LinkedIn, MySpace und Yahoo, bei denen jeweils hunderte Millionen Zugangsdaten kompromittiert wurden. Gemeinsames Muster war die Wiederverwendung von Passwörtern durch Nutzer und teilweise schwache Hash Verfahren, die Angreifern den Zugriff erleichterten.
Der Fall Dropbox machte deutlich, dass freiwillige Maßnahmen von Unternehmen nicht ausreichen. Zwar bot Dropbox Schutzmaßnahmen und Passwortzurücksetzungen an, doch viele Nutzer hatten keine echte Kontrolle darüber, ob ihre Daten bereits missbraucht worden waren.
Regulatorisch fiel der Leak in eine Phase, in der weltweit über strengere Datenschutzgesetze diskutiert wurde. Die EU bereitete gerade die Einführung der DSGVO vor, die ab 2018 Unternehmen zur schnellen Meldung und besseren Absicherung von Daten verpflichtete. In den USA gab es ebenfalls Forderungen nach klareren Standards und strengeren Meldefristen.
Maßnahmenkatalog für Unternehmen
- Verpflichtende Nutzung starker Hash Verfahren wie bcrypt oder Argon2 für alle Passwörter
- Regelmäßige Überprüfung von Altdatenbanken und Schutz vor unentdeckten Leaks
- Schnelle und transparente Kommunikation mit Nutzern im Falle eines Vorfalls
- Förderung der Zwei Faktor Authentifizierung als Standard für alle Accounts
- Ständige Sensibilisierung der Nutzer für Passwortsicherheit und Recycling Risiken
Dropbox Mega Leak als Mahnung
Der Dropbox Mega Leak von 2016 ist ein Beispiel dafür, dass lange unentdeckte Datenpannen gravierende Folgen haben können. Auch Jahre nach dem eigentlichen Angriff stellten die kompromittierten Daten ein erhebliches Risiko dar. Für Nutzer bedeutet der Vorfall, dass Passwortdisziplin und Mehrfaktorverfahren unverzichtbar sind. Für Unternehmen zeigt er, dass auch alte Datenbestände höchste Aufmerksamkeit verdienen.