Dropbox meldet unbefugten Zugriff auf Kundendaten

Am 24. April hat der Filehosting-Dienst Dropbox einen Sicherheitsvorfall bemerkt. Wie der Filesharing-Anbieter mitteilt, stellte man während weiterer Untersuchungen des Vorfalls fest, dass Angreifer auf Kundendaten der E-Signatur-Lösung Dropbox Sign zugegriffen haben. 

Unter den abgerufenen Daten seien Dropbox-Sign-Kundeninformationen wie E-Mails, Benutzernamen, Telefonnummern und gehashte Passwörter, heisst es weiter. Die Angreifer hätten zudem auf allgemeine Kontoeinstellungen und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Tokens und Multi-Faktor-Authentifizierungstokens zugegriffen. 

Allerdings sei kein Zugriff auf den Inhalt der Kundenkonten, wie Dokumente oder Verträge, oder Zahlungsinformationen festgestellt worden. Zudem sei Dropbox Sign aus technischer Sicht weitgehend von anderen Dropbox-Diensten getrennt und man sei davon überzeugt, dass keine Auswirkungen auf andere Dropbox-Produkte bestehen. 

Als Reaktion habe das Sicherheitsteam die Passwörter zurückgesetzt, die Benutzer von allen mit Dropbox Sign verbundenen Geräten abgemeldet und die Rotation aller API-Schlüssel und OAuth-Tokens koordiniert. Der Vorfall sei den zuständigen Datenschutz- und Strafverfolgungsbehörden gemeldet worden und Dropbox führe weitere Untersuchungen zum Vorfall durch.

Apropos Passwörter: Der 2. Mai ist der "Welt-Passwort-Tag". Hier erfahren Sie mehr über Passwörter und ein 20 Jahre altes Regelwerk, das einem dabei hilft, ein starkes Passwort zu erstellen.