Dropbox gibt Datenverlust zu

Dropbox hat nach einer zweiwöchigen internen Untersuchung bestätigt, dass Anmeldedaten von Nutzern kompromittiert wurden. Betroffene Kunden habe man informiert und ihnen bei der Absicherung ihres Kontos geholfen. Anwender hatten den Online-Speicherdienst vor rund zwei Wochen darauf aufmerksam gemacht, dass sie Spam-Mails von Online-Casinos und Glücksspiel-Websites erhielten, obwohl sie die zugehörigen E-Mail-Adressen ausschließlich für Dropbox nutzten. Der Speicherdienst startete daraufhin eine Untersuchung.

“Unsere Nachforschungen haben ergeben, dass Benutzernamen und Passwörter von fremden Websites gestohlen und dazu verwendet wurden, sich bei einer geringen Zahl von Dropbox-Konten anzumelden”, schreibt Entwickler Aditya Agarwal in einem Blogeintrag. Ein gestohlenes Passwort sei dazu genutzt worden, sich Zugang zum Konto eines Dropbox-Mitarbeiters zu verschaffen, das ein Projekt-Dokument mit E-Mail-Adressen von Nutzern enthielt. “Wir glauben, dass dieser unberechtigte Zugriff zu dem Spam geführt hat.”

Bis zu dem Zeitpunkt, zu dem das Unternehmen die Situation klären konnte, hatten sich rund 300 Nutzer im Forum über empfangene Spam-Mails beschwert. Der Großteil von ihnen stammt aus Europa, etwa aus Deutschland, den Niederlanden und Großbritannien.

Damit sich der Vorfall nicht wiederholt, will Dropbox zusätzliche Sicherheitsmaßnahmen einführen. Dem Blogeintrag zufolge wird es “in einigen Wochen” eine optionale Zwei-Faktor-Authentifizierung geben. Dabei melden sich Anwender mit ihrem Passwort und einem nur kurze Zeit gültigen Code an ihrem Konto an, der an ihr Handy geschickt wird. Zudem sollen automatisierte Mechanismen dabei helfen, auffällige Aktivitäten zu erkennen. Nutzer können alle aktiven Anmeldungen an ihrem Konto jetzt auf einer neuen Webseite einsehen.

Dropbox weist außerdem darauf hin, dass User es vermeiden sollten, dasselbe Passwort auf verschiedenen Websites zu verwenden. Denn wenn es bei einer Site eine Sicherheitsverletzung gebe, seien auch alle anderen Konten gefährdet.

Erst im Mai hatte das Fraunhofer-Institut für Sichere Informationstechnologie im Rahmen einer Studie die Sicherheit von CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala überprüft. Im Mittelpunkt stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf. Selbst die nach Ansicht der Fraunhofer-Experten “grundsätzlichen Sicherheitsanforderungen” konnte kein Dienst vollständig erfüllen. Außerdem stellten sie im Juni fest, dass sieben Cloud-Speicherdienste, darunter auch Dropbox, die Registrierung mit fremden Mail-Adressen erlauben

[mit Material von Dara Kerr, News.com]

 Loading ...