Dass bei dem Cloud-Storage-Service-Provider Dropbox irgendetwas nicht stimmte, meldeten etliche Blogs bereits Mitte Juli. Massenweise Spam landeten in E-Mail-Postfächern, die von etlichen Anwendern nur für den Dropbox-Account angelegt wurden. Zunächst wurde alles bagatellisiert. Doch nun räumt Dropbox in einem Support-Blog ein, dass man einem Datendiebstahl zum Opfer gefallen ist.

Und zwar hatte ein Dropbox-Mitarbeiter in einer Datei, die »Projektdokument« hieß, E-Mail-Adressen von Kunden gespeichert. Interessanterweise gelang Hackern aber nicht der direkte Klau des Passworts, sondern beim Angriff auf eine andere Website, die der Mitarbeiter eher privat nutzte. Dort hatte allerdings der Mitarbeiter dummerweise das gleiche Passwort verwendet wie für seinen Dropbox-Account.

Dropbox-Accounts sollen ein Zwei-Stufen-Login erhalten

Ärgerlich, dass ausgerechnet einem Dropbox-Mitarbeiter so ein fahrlässiger Umgang mit einem Passwort unterlief. Selbst unter normalen Internet-Nutzern ist bekannt, dass man Passwörter immer wieder variieren sollte, und dass man das gleiche Passwort nicht auf verschiedenen Plattformen benutzen sollte. Besonders wichtig ist dies, wenn es sich um sensitive Daten wie Unternehmensinformationen handelt.

Dropbox hat darüber nicht nur in dem Blog informiert, sondern auch bei vielen Accounts die Passwörter zurückgesetzt. Dropbox zeigt natürlich Reue, und will die internen Sicherheitsmaßnahmen deutlich verstärken. Auch für Dropbox-Accounts soll ein Zwei-Stufen-Login angeboten werden.

Dropbox ist mit üblichen firmeninternen Regularien »nicht akzeptierbar«

Rob Sobers, Technical Manager beim Sicherheitsunternehmen Varonis, empfiehlt allen Dropbox-Kunden, ihre Passwörter neu aufzusetzen, da nicht klar ist, wie viele Accounts betroffen sind. Und Kunden sollten auch schnellstmöglich schauen, was in den Dropbox-Ordnern enthalten ist – immer davon ausgehen, dass diese Daten gestohlen wurden, und überlegen, was man evlt. proaktiv dagegen unternehmen kann.

Sehr deutlich zeigt der Datenleckvorfall laut Grant Taylor, Vice President Europe beim Sicherheitsexperten Cryptzone, dass vor allem bei beruflichen und privaten Accounts niemals das gleiche Passwort verwendet werden sollte. Generell warnt er davor, sensible berufliche Daten in solchen kostenlosen Accounts wie Dropbox zu speichern. Solche Praktiken seien mit den üblichen firmeninternen Regularien »nicht akzeptierbar«. Wer es trotzdem mache – »der spürt früher oder später den Atem des Chefs in seinem Nacken«, süffisiert Taylor.

.