Daten-Desaster bei Dropbox: Wieso der Diebstahl von 68 Millionen Passwörtern jahrelang unbemerkt blieb
Online-Speicherdienste in allen Ehren: In den letzten Jahren häufen sich die Schlagzeilen über ihre Daten-Sicherheit und -Zuverlässigkeit. Zurecht, denn jetzt hat es tatsächlich auch den wohl bekanntesten Filehosting-Dienst Dropbox erwischt, an dessen Daten-Front es gewaltig brodelt! Besonders prekär: Hintergrund des ganzen Debakels ist ein Vorfall, der sich bereits im Jahr 2012 ereignete – dann noch ein paar weitere unglückliche Umstände und fertig ist die perfekte Sicherheitslücke.
Teil 1: Die Entdeckung des Datenlecks
Vor etwas mehr als über vier Jahren legte ein Mitarbeiter des weltbekannten Speicheranbieters vertrauliche und sensible Kundendaten in seiner eigenen Dropbox ab, wog sich und seine Daten damit in Sicherheit und dachte wahrscheinlich nicht weiter darüber nach. Blöd nur, dass der Mitarbeiter dasselbe Passwort sowohl für seinen persönlichen Dropbox-Account als auch für andere Webdienste verwendete. Ein fataler Fehler, der ihm zum Verhängnis wurde. Und so nahm das Unglück seinen Lauf…
…denn ein Datendieb konnte das Passwort des Mitarbeiters auf einer anderen Website entschlüsseln, sich in seine Dropbox einhacken, sämtliche E-Mailadressen von Nutzern entwenden und zum Spam-Versand missbrauchen. Aufgeflogen ist das ganze Daten-Drama, als sich im Juli 2012 auffällig viele Dropbox-Nutzer darüber beschwerten, dass sie plötzlich Spam-Mails an genau die und nur die E-Mailadressen erhielten, die sie zur Anmeldung bei Dropbox angegeben hatten. Der Speicherdienst zog eine Lektion aus dem ganzen Schlamassel und bot seinen Nutzern daraufhin eine zusätzliche Absicherung für den Cloud-Speicher an.
Teil 2: The Return of the „Datenleck“
Aus den Augen, aus dem Sinn, Kapitel beendet? Leider nein – und das ganze Horrorszenario nahm erst jetzt richtig Form an; da brachte auch die neue Absicherungs-Option nichts mehr. Denn damals wurde ein entscheidendes Detail übersehen: Wie durch Sicherheitsforscher erst im August 2016, also ganze vier Jahre später, ans Licht kam, enthielt der in der Dropbox abgespeicherte Projektordner des Mitarbeiters wohl nicht nur Mailadressen, sondern auch verschlüsselte Passwörter. Doch der Datendieb erkannte die versteckten Zugangsdaten und schlug, wie Nachforschungen nun gezeigt haben, gnadenlos zu! Dass es sich dabei um alles andere als eine Lappalie handelt, belegen aktuelle Zahlen: So sollen damals sage und schreibe bis zu 68 Millionen Daten gehackt worden sein!
Doch Dropbox hatte mehr als nur Glück im Unglück: Nach eigenen Angaben soll es trotz des massiven Passwort-Hacks bislang keinerlei unbefugte Zugriffe auf Accounts gegeben haben.
Die harte Realität
Solche Zwischenfälle können für Unternehmen schnell Schadenersatzforderungen in schwindelerregender Höhe bedeuten. Im Ernstfall kann ein derartiges Versehen das gesamte Unternehmen in eine Krise stürzen. Deshalb sollte spätestens jetzt vor allem bei kleinen oder mittelständischen Betrieben die mentale Alarm-Sirene laut ertönen: Der richtige Umgang mit vertraulichen, geheimen Kundendaten erfordert höchste Konzentration und Sorgfalt. Einmal nicht mitgedacht oder eine Datei gedankenverloren im falschen Ordner abgelegt und schon sind unzählige geheime Dokumente in Gefahr.
Doch noch ein Happy End?
Aber was tun, wenn sich ein Datenleck im eigenen Business einschleicht oder Sie Opfer eines Hackers werden und Kunden daraufhin Schadenersatz von Ihnen fordern? Um sich vor den finanziellen Folgen eines Hacks zu schützen, sollten Unternehmer immer auf die bestmögliche Absicherung setzen – gerade auch schon frühzeitig und bevor etwas passiert. Die Berufshaftpflichtversicherungen über exali.de bieten optimalen Schutz, der sich dank optionaler Leistungserweiterungen branchenspezifisch anpassen lässt. So sind Sie zum Beispiel auch bei Schadenersatzansprüchen Dritter infolge von Datenrechtsverletzungen, Sicherheitslücken und Datenlecks umfassend versichert.
Weiterführende Informationen:
- WordPress-Seite wird zwei Jahre nach Auftragsende gehackt: Webdesigner soll trotzdem haften und bezahlen!
- Unglücksrabe IT-Dienstleister: Nach Servercrash drohen über 100.000 Euro Schadenersatzforderung!
- Bei einem Datenverlust lieber gleich an die Profis wenden