Datenpannen

Dropbox Sign-Datenpanne legt E-Mails, gehashte Passwörter und MFA-Daten offen

1. Mai 20264 Min. Lesezeit

Von James Okafor — CIPP/E-zertifiziert, Spezialist für digitale Rechte und Datenschutzrecht

Dropbox Sign-Datenpanne legt E-Mails, gehashte Passwörter und MFA-Daten offen

Was beim Dropbox Sign-Datenleck passiert ist

Dropbox hat einen schwerwiegenden Sicherheitsvorfall beim Dienst Dropbox Sign offengelegt – einer E-Signatur-Plattform, die von Privatpersonen und Unternehmen genutzt wird, um Dokumente rechtsgültig online zu versenden und zu unterzeichnen. Ein Bedrohungsakteur verschaffte sich unbefugten Zugang zur Produktionsumgebung der Plattform, also zur Live-Infrastruktur, die echte Nutzerdaten verarbeitet, und erbeutete dabei eine breite Palette sensibler Informationen.

Zu den offengelegten Daten gehören E-Mail-Adressen, Telefonnummern, gehashte Passwörter sowie Details zur Multi-Faktor-Authentifizierung (MFA). Letztere Kategorie ist besonders bemerkenswert. Die Offenlegung von MFA-Einstellungen und Geräte-Tokens bedeutet, dass Angreifer möglicherweise mehr als nur Ihr Passwort in den Händen halten. Dropbox hat damit begonnen, betroffene Nutzer zu benachrichtigen, und fordert diese auf, ihre Zugangsdaten umgehend zurückzusetzen.

Die Untersuchung ist noch im Gange, und der vollständige Umfang des Datenlecks wurde öffentlich noch nicht bestätigt.

Warum die MFA-Offenlegung diesen Vorfall schwerwiegender macht

Die meisten Datenpannen folgen einem bekannten Muster: E-Mail-Adresse und gehashtes Passwort werden offengelegt, der Angreifer versucht den Hash zu knacken oder die Zugangsdaten bei anderen Diensten auszuprobieren, und Konten werden kompromittiert. Dieser Vorfall geht einen Schritt weiter.

Wenn MFA-Konfigurationsdaten kompromittiert werden, erhalten Angreifer möglicherweise Einblick in die Einrichtung des zweiten Faktors eines Opfers. Je nachdem, was gespeichert wurde und wie, könnte dies das Umgehen oder soziale Manipulieren dieser zweiten Schutzebene erleichtern. Das bedeutet auch, dass ein bloßes Ändern des Passworts möglicherweise nicht ausreicht. Wenn Ihre Authentifikator-App mit einem Geräte-Token verknüpft ist, das offengelegt wurde, enthält die Sicherheitskette ein schwaches Glied, das vollständig ersetzt werden muss.

Gehashte Passwörter sind zwar nicht sofort lesbar, aber auch nicht unbedingt sicher. Schwache oder wiederverwendete Passwörter können mithilfe von Wörterbuchangriffen oder Rainbow-Tables geknackt werden. Wenn Ihr Dropbox Sign-Passwort kurz, gängig oder anderweitig verwendet war, sollte es ab sofort als kompromittiert betrachtet werden.

Was das für Sie bedeutet

Wenn Sie ein Dropbox Sign-Konto haben, ist die sicherste Annahme, dass Ihre E-Mail-Adresse und Ihr Passwort-Hash in den Händen von jemandem sind, der sie nicht haben sollte. Das sollten Sie jetzt tun:

Setzen Sie Ihr Dropbox Sign-Passwort sofort zurück. Verwenden Sie ein starkes, einzigartiges Passwort, das Sie nirgendwo sonst benutzt haben. Ein Passwort-Manager macht dies unkompliziert und nimmt die Versuchung, Zugangsdaten wiederzuverwenden.

Melden Sie sich erneut bei MFA an. Lassen Sie Ihre bestehende MFA-Einrichtung nicht einfach bestehen. Da MFA-Konfigurationsdaten Teil des Datenlecks waren, ist es ratsam, Ihre aktuelle MFA-Einrichtung zu deaktivieren und sie anschließend neu einzurichten. Wenn Sie SMS-basierte Zwei-Faktor-Authentifizierung verwenden, sollten Sie den Wechsel zu einer Authentifikator-App in Betracht ziehen, da diese generell widerstandsfähiger gegen Abfangversuche ist.

Überprüfen Sie die Wiederverwendung von Zugangsdaten. Wenn dasselbe Passwort, das Sie für Dropbox Sign verwendet haben, auch anderswo vorkommt, ändern Sie es auch bei diesen Diensten. Credential Stuffing – bei dem Angreifer einen kompromittierten Datensatz nehmen und ihn bei Dutzenden anderer Plattformen ausprobieren – ist einer der häufigsten und wirksamsten Folgeangriffe nach einem solchen Datenleck.

Beobachten Sie Ihre Konten auf ungewöhnliche Aktivitäten. Achten Sie auf Passwort-Reset-E-Mails, die Sie nicht angefordert haben, unbekannte Anmeldbenachrichtigungen oder jegliche Kontoaktivitäten, die seltsam erscheinen. Dies gilt insbesondere für E-Mail-Konten, die als Einfallstor genutzt werden können, um Passwörter für alles andere zurückzusetzen.

Nutzen Sie ein VPN in nicht vertrauenswürdigen Netzwerken. Wenn Sie Zugangsdaten zurücksetzen oder sich erneut bei Diensten anmelden, reduziert eine vertrauenswürdige, verschlüsselte Verbindung das Risiko, dass Ihre neuen Zugangsdaten abgefangen werden. Öffentliches WLAN und geteilte Netzwerke sind nicht der richtige Ort für die Kontowiederherstellung.

Mehrschichtige Sicherheit ist keine Option

Das Dropbox Sign-Datenleck ist eine Erinnerung daran, dass keine einzelne Sicherheitsmaßnahme für sich allein ausreicht. Gehashte Passwörter sind besser als Klartext, aber nicht unknackbar. MFA ist besser als ein Passwort allein, aber nicht undurchdringlich, wenn die Konfigurationsdaten selbst offengelegt wurden. Das Ziel der mehrschichtigen Sicherheit besteht darin sicherzustellen, dass wenn eine Schutzebene versagt, andere noch standhalten.

Für alltägliche Nutzer bedeutet das, starke einzigartige Passwörter, robuste MFA, vorsichtige Netzwerkgewohnheiten und regelmäßige Überwachung zu einer Routine statt zu einer Reaktion zu machen. Datenpannen werden weiterhin vorkommen. Organisationen, denen Sie Ihre Daten anvertrauen, werden diese manchmal nicht ausreichend schützen. Was Sie kontrollieren können, ist das Ausmaß des Schadens, den ein einziges kompromittiertes Konto anrichten kann, bevor Sie es bemerken.

Beginnen Sie mit den Grundlagen: Ändern Sie betroffene Passwörter, erneuern Sie Ihre MFA-Anmeldung und überprüfen Sie, wo Sie dieselben Zugangsdaten möglicherweise noch verwendet haben. Diese drei Schritte bringen Sie dem Großteil der Risiken, die dieses Datenleck schafft, einen wichtigen Schritt voraus.

// FAQ

Welche Arten von Daten wurden beim Dropbox Sign-Datenleck offengelegt?

Beim Datenleck wurden E-Mail-Adressen, Telefonnummern, gehashte Passwörter sowie Details zur Multi-Faktor-Authentifizierung (MFA) einschließlich Geräte-Tokens offengelegt. Dropbox hat damit begonnen, betroffene Nutzer zu benachrichtigen und fordert diese auf, ihre Zugangsdaten umgehend zurückzusetzen.

Warum ist die Offenlegung von MFA-Daten besonders besorgniserregend?

Kompromittierte MFA-Konfigurationsdaten könnten Angreifern Einblick in die Einrichtung des zweiten Faktors eines Opfers geben und es ihnen potenziell erleichtern, diese Schutzebene zu umgehen. Das bedeutet, dass ein bloßes Ändern des Passworts möglicherweise nicht ausreicht, um das Konto vollständig zu sichern.

Sind gehashte Passwörter vor Angreifern sicher?

Gehashte Passwörter sind nicht sofort lesbar, aber nicht unbedingt sicher, da schwache oder wiederverwendete Passwörter mithilfe von Wörterbuchangriffen oder Rainbow-Tables geknackt werden können. Jedes kurze, gängige oder wiederverwendete Dropbox Sign-Passwort sollte als kompromittiert betrachtet werden.

Was sollten Dropbox Sign-Nutzer als Reaktion auf dieses Datenleck tun?

Nutzer sollten ihr Dropbox Sign-Passwort sofort durch ein starkes, einzigartiges Passwort ersetzen, ihre MFA-Anmeldung neu einrichten anstatt die bestehende Konfiguration beizubehalten, und ihr Passwort bei allen anderen Diensten ändern, bei denen dieselben Zugangsdaten verwendet wurden.

Hat Dropbox den vollständigen Umfang des Datenlecks bestätigt?

Nein, die Untersuchung ist noch im Gange und der vollständige Umfang des Datenlecks wurde öffentlich noch nicht bestätigt. Dropbox hat den Vorfall offengelegt und begonnen, betroffene Nutzer zu benachrichtigen, vollständige Details stehen jedoch noch aus.

Was beim Dropbox Sign-Datenleck passiert ist

Warum die MFA-Offenlegung diesen Vorfall schwerwiegender macht

Was das für Sie bedeutet

Mehrschichtige Sicherheit ist keine Option

// FAQ

// Verwandt