Der Online-Speicher-Dienst Dropbox ist in den letzten Tagen mehrfach Mal durch negative Meldungen aufgefallen. Erst verlor der Dienst Dateien von Nutzern, jetzt wurden Phishing-Angriffe auf Nutzerdaten bekannt, die mittels manipulierter Webseiten ausgeführt wurden. Parallel werden 7 Millionen Zugangsdaten zu Dropbox-Konten angeboten. Dropbox bekräftigt nicht "gehackt" worden zu sein und bestreitet die Echtheit der Daten.
Das Dropbox-Feature "Selective Sync" ermöglicht es Dropbox-Nutzern bestimmte Ordner im Online-Speicher von Dropbox auszuwählen, die mit dem jeweiligen Rechner abgeglichen werden sollen. So können Nutzer zum einen in Umgebungen mit schlechter Internetanbindung die Datenleitung schonen, zum anderen werden nicht benötigte Dateien, die etwa nur privat sind, nicht auf Unternehmensrechner heruntergeladen. Einige Nutzer, die dieses Feature verwendeten, sind jetzt Opfer von Datenverlusten geworden. Grund dafür war ein technischer Fehler von Dropbox, der mit einer neuen Software-Version behoben wurde. Wer nicht auf die neue Version geupdatet hat, kann sich – so das Unternehmen – nicht mehr mit seiner Dropbox verbinden. Betroffene User würden per E-Mail informiert und ehielten den Service "Dropbox Pro"für ein Jahr kostenlos.
Nur einige Tage später wurde ein Phishing-Angriff auf Dropbox-Nutzer bekann. Betroffene erhielten dabei eine E-Mail, mit der eine vermeidnlich große Datei versendet werden sollte. Da die Datei aber zu groß sei, werde die Datei auf der Dropbox-Plattform hinterlegt und sei dort abrufbar. Sobald die Betroffenen den in der E-Mail angegeben Link klickten, wurden Sie auf eine augenscheinlich von Dropbox stammende Internetseite weitergeleitet, wo sie aufgefordert wurden ihre Zugangsdaten einzugeben. Falls Dropbox nicht genutzt werden, könnten alternativ auch die Zugangsdaten des E-Mail-Anbieters eingegeben werden. Danach wurden die Betroffenen auf ihr tatsächliches Dropbox-Konto weitergeleitet.
Problematisch dabei ist, dassdie URL, auf die von der E-Mail verwiesen ist, offenbar wirklich zu Dropbox gehört, was das Unternehmen auch bestätigte. Für den Nutzer ist es daher besonders schwierig den Angriff in geeigneter Weise zu erkennen. Auch bei der Eingabe der Nutzerdaten gibt es kaum Anhaltspunkte. Dass der Verbidnungsaufbau etwas länger dauert, werden die Nutzer als normal im Internet betrachten.
Zu diesem Angriff passt die schrittweise Veröffentlichung von 7 Millionen Datensätzen, die Zugangsdaten zu Dropbox enthalten sollen. Einige Hunder der Daten werden von einer Gruppe auf der Internetplattfom "pastebin" zu7 Prüfung angeboten. Die Gruppe droht damit weitere Datensätze zu veröffentlichen, wenn nicht "Spenden" in Form der Interbetwährung BitCoin bei der Gruppe eingehen. Ob die Zugangsdaten aus dem erwähnten Phishing-Angriff stammen, ist nicht bestätigt. Dropbox bekräftigt nicht gehackt worden zu sein und bestreitet die Echtheit der Zugangsdaten. Ein Abgleich der verfügbaren Daten habe keine Übereinstimmung mit Dropbox-Konten ergeben.
Dropbox hat dennoch auf geäußerte Kritik reagiert und empfiehlt allen Nutzern den Umstieg auf die bisher als sicher geltende Zwei-Faktor-Authentisierung. Außerdem wurden einige Nutzer aufgefordert irh Passwort für Dropbox zu ändern.
Links zum Datenverlust:
- Dropbox: Fehler löscht Dateien und Dokumente von Nutzern (netzwelt.de)
Links zum Phishing-Angriff:
- Manipulierte Dropbox-Seiten phishen nach Mailaccounts (golem.de)
- Dropbox-Server als Phishing-Helfer (heise.de)
Links zu den veröffentlichten Zugangsdaten:
- Angeblich 7 Millionen Dropbox-Passwörter im Umlauf (heise.de)
- Stellungnahme von Dropbox (blog.dropbox.com)
Zwei-Faktor-Authentisierung bei Dropbox: