Der Cloudspeicherdienst Dropbox wurde im Jahr 2012 offensichtlich Opfer eines großangelegten Datendiebstahls. Rund 68 Millionen Accounts können betroffen sein.
Dropbox hat den vor vier Jahren erfolgten Angriff und den Diebstahl der Nutzerdaten inzwischen bestätigt. Schon im Jahr 2012 hatte der Cloudspeicherdienst den Angriff gemeldet, allerdings war damals die Tragweite nicht klar. Wie sich nun herausstellt sind die Passwörter von Nutzern nun im Netz aufgetaucht. Besonders betroffen sind Nutzer, die seit 2012 ihr Passwort nicht geändert haben. Dropbox hat diese Accounts inzwischen zurückgesetzt. Sollten diese Nutzer ihre Dropbox-Passwörter auch bei anderen Services einsetzen, sollten sie dort ebenfalls geändert werden.
Die betroffenen Passwörter sind bei Dropbox zur Hälfte zum einen mit Bcrypt gesichert und die andere Hälfte mit SHA1 und Salt. Dem Online-Magazin Motherboard sind einige Passwörter zugeschickt worden, die damals gestohlen wurden. Der Sicherheitsexperte Troy Hunt berichtet ebenfalls, dass er mittels eigener Daten den Einbruch verifizieren konnte und auch den Umstand, dass Passwörter betroffen sind die seit 2012 nicht geändert wurden.
