Der Dropbox-Einbruch wirft einige Fragen auf

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA


Quelle: Salt by SoraZG used under creative commons

Vor zwei Wochen hatte Dropbox angekündigt, den Beschwerden einiger Nutzer nachzugehen, die über Spam an E-Mail-Adressen klagten, die sie nur für ihre Dropbox-Konten aufgesetzt hatten. Jetzt ist das Rätsel um die Belästigung gelöst.

Der Online-Speicheranbieter erklärte, dass “kürzlich von anderen Websites Benutzernamen und Kennwörter gestohlen und dann auch für das Login in ein paar Dropbox-Konten genutzt wurden“. Eines der betroffenen Konten gehörte zufällig einem Angestellten des Providers. Hier lag auch „ein Projektdokument mit Benutzer-Mailadressen“. Und dies führte nach Meinung von Dropbox zur Spam-Kampagne.

Diese Nachricht und die Art, damit umzugehen, hinterlässt ein ungutes Gefühl und gibt Anlass zu einigen Zweifeln. Ein Dropbox-Mitarbeiter nutzt echte Kundeninformationen in einem „Projektdokument“? Warum verwendet er nicht Platzhalter? Es erweckt den Anschein, als wäre dieses Dokument deshalb zugänglich gewesen, weil der Mitarbeiter sein Unternehmenskennwort nochmals für weitere, offensichtlich kompromittierte Webdienste verwendete.

Darüber hinaus informierte Dropbox seine Kunden über den Einbruch via E-Mail-Benachrichtigung und setzte einen Link für ein Zurücksetzen des Kennworts in die Nachricht. Nun, seit Jahren warnen die Fachleute Nutzer davor, einen Link in einer nicht angeforderten Mail anzuklicken – vor allem wenn der Empfänger dabei aufgefordert wird, auf einer Website Login-Daten anzugeben! Auch berichten Nutzer, dass auf der Homepage des Providers keine Rede von einem Angriff war,  welcher einen Kennwort-Reset erforderlich gemacht hätte. Dies hätte wahrscheinlich die Glaubwürdigkeit der Benachrichtigung erhöht. . Im Idealfall würde ein Unternehmen in einem solchen Fall eine Benachrichtigung an die Betroffenen schicken und sie auf die Unternehmens-Website  verweisen, um den dortigen Informationen zu folgen.

Und schließlich erklärte Dropbox, dass als Folge des Einbruchs einige Nutzerkennwörter zurückgesetzt wurden („In einigen Fällen müssen wir darauf bestehen, dass Sie ihr Kennwort ändern.“) Hier stellt sich die Frage, wie Dropbox die Kennwörter seiner User speichert. Speichern sie die Kennwörter im Klartext oder vielleicht mit einem nur „schwach gesalzenen“ Hash? (Salt bezeichnet eine zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe für eine Hashfunktion angehängt wird.) Oder nutzen sie dasselbe Salz für jeden Nutzer und einen Hashing-Algorithmus, der eher auf Schnelligkeit als auf Sicherheit ausgelegt ist? Lässt sich auch nur eine dieser Fragen bejahen, so ist die Kennwortdatenbank des Online-Speicheranbieters offen für einen so genannten Rainbow Table (Tabelle, um eine Verschlüsselungs-Hash-Funktion umzukehren) -Angriff.

Benutzerkennwörter sollten mit einem einzigartigen Salt für jeden User gespeichert sein und einen Algorithmus nutzen, der das Einfügen eines „Work Factors” wie Blowfish in den Hash-Prozess erlaubt. Dieses Vorgehen erschwert das Knacken eines Kennworts erheblich. Da der Work Factor variabel ist, kann er so verändert werden, dass er mit der Verarbeitungsgeschwindigkeit mithält. Wird er vergrößert, so verlangsamt sich der Hash. Die Massenberechnungen von Rainbow Tables werden damit unrentabel.

Es ist beruhigend zu hören, dass Dropbox eine Zwei-Faktor-Authentifizierung sowie weitere Verbesserungen an der Sicherheit für die Nutzer implementiert, doch beantwortet das die aktuellen Fragen nicht. Der Vorfall zeigt wieder deutlich, warum es so wichtig ist, sichere einzigartige Kennwörter für die vielen Online-Konten zu verwenden. Kann man seinem Service Provider nicht trauen, so muss man selbst für die eigene Sicherheit sorgen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*