Dropbox bestätigt Diebstahl von 60 Millionen Passwörtern

Dropbox hat ein Datenleck von riesigen Ausmaßen bekanntgegeben – eines, das mit eperi Lösungen einfach hätte verhindert werden können.

Anfang der Woche hatte der Cloud-Speicheranbieter offengelegt, dass während eines Vorfalls im Jahr 2012 mehr als 60 Millionen Nutzerpasswörter gestohlen wurden. Bislang hatte Dropbox nur einen einzelnen Sicherheitsfall bestätigt, bei dem sich Angreifer Zugang zu einem Angestellten-Account verschafften und Dateien mit den Mailadressen von Nutzern entwendeten. Die Hälfte der Dropbox-Passwörter war 2012 als einfacher SHA-1-Hash mit Salt gespeichert, was sie für Profis entschlüsselbar macht.

Der Vorfall zeigt erneut, dass in der Cloud gespeicherte Dateien, nicht nur die Verbindung und Nutzer-Accounts, mit den robustesten und verlässlichsten Verschlüsselungsmethoden gesichert werden müssen. Was auch klar wird: Nur, weil einem Unternehmen, dass Cloud-Produkte verwendet, noch kein Sicherheitsvorfall mit seiner Lösung bekannt ist, muss das noch lange nicht der Realität entsprechen. Im Fall von Dropbox hatten die Angreifer vier Jahre Zeit, aus ihrer Beute Gewinn zu schlagen – ohne, dass eine der betroffenen Firmen von der Bedrohung wusste. Hätte Dropbox eine Lösung wie das eperi Gateway verwendet, wären die Dateien mit Mailadressen und Passwörtern komplett verschlüsselt gewesen. Die Angreifer würden sie dank moderner AES-256-Verschlüsselung nicht lesen können. Der Vorfall ist ein wichtiger Appell an Unternehmen, die Cloud-Security noch zu sehr auf die leichte Schulter nehmen: IT-Sicherheit ist nicht an Cloud-Anbieter auslagerbar und sollte im Unternehmen kontrolliert werden.

In einer Zeit, in der sich Angestellte dutzende Passwörter für ihre Arbeit merken müssen, wird Dateiverschlüsselung immer wichtiger, weil Passwörter zunehmend wiederverwendet werden. Accounts sind dadurch angreifbarer als je zuvor. Mehrere Berichte bestätigen, dass dies auch die ausgenutzte Schwachstelle bei Dropbox war: Der betroffene Mitarbeiter verwendete das gleiche Passwort auch für LinkedIn, das kurze Zeit vorher einen Passwortdiebstahl erlebte. eperi bietet mehrere Lösungen für Cloud-Anwendungs-, Datenbank- und Dateiverschlüsselung an, die Unternehmen auch im Fall von Datenverlust absichern. In unserer Ressourcenbibliothek können Sie mehr zum Thema und zu diesen Produkten lesen.