Dropbox bestätigt Datenleck

Befand sich die eigene Mailadresse in der geklauten Datei, wurde man unter anderem mit Casino-Spam belästigt. Aus der Dropbox eines Mitarbeiters des Speicheranbieters wurde eine Datei mit Kundendaten entwendet, welche daraufhin zum Spam-Versand missbraucht wurden, wie der Cloud-Speicherdienst in seinem Blog erklärt.

Mitte Juli beschwerten sich auffällig viele Dropbox-Nutzer darüber, dass sie Spam an Mail-Adressen erhielten, die sie ausschließlich zur Anmeldung bei dem Speicherdienst genutzt hatten. Wie sich jetzt herausgestellt hat, war das kein Zufall.

Laut Dropbox befanden sich die Mailadressen der Nutzer in einem "Projektdokument", das einer der Mitarbeiter in seiner Dropbox gespeichert hatte. Wie viele Mailadressen es enthielt, ließ das Unternehmen offen. Der Datendieb ist nach Angaben des Speicheranbieters über ein geklautes Passwort in die Mitarbeiter-Dropbox eingestiegen.

Das Passwort soll jedoch nicht bei Dropbox, sondern bei einem Angriff auf eine andere, nicht näher genannte Webseite entwendet worden sein – der Mitarbeiter hatte sein Dropbox-Passwort auch zur Anmeldung bei anderen Webdiensten genutzt. Auf die gleiche Weise griffen die Datendiebe auch auf "eine kleine Anzahl" weiterer Dropbox-Accounts zu. Das Unternehmen gibt an, die betroffenen Nutzer über den Vorfall informiert zu haben.

Wer überprüfen will, ob es Fremdzugriffe auf den eigenen Dropbox-Account gab, kann dies mit dem neu eingerichteten Zugriffsverlauf in Erfahrung bringen. Darüber hinaus will der Speicheranbieter in einigen Wochen eine optionale Zwei-Faktor-Authentifizierung anbieten, mit der man seinen Cloud-Speicher zusätzlich absichern kann.

Wie diese genau umgesetzt werden kann, gab das Unternehmen noch nicht bekannt. Als Beispiel nannte Dropbox die Zusendung eines temporären Codes per SMS, den man bei jedem Login zusammen mit dem Passwort eingeben muss. Ein Angreifer müsste dann nicht nur die Zugangsdaten kennen, sondern auch Zugriff auf das Handy des Nutzers haben. (rei)