Die im Jahr 2012 von Hackern kopierte Dropbox-Datenbank ist online aufgetaucht. Die darin enthaltenen Passwörter sind zwar geschützt, etwa die Hälfte jedoch nur mit dem als nicht mehr sicher geltenden SHA1-Verfahren.

Der Sicherheitsforscher Thomas White hat 68 Millionen Passwort-Hashes von Dropbox-Nutzern veröffentlicht und stellt die Daten zum Download zur Verfügung. Unbekannte Angreifer haben die Passwörter Mitte 2012 abgezogen. Es ist davon auszugehen, dass die Daten echt sind.

E-Mail-Adresse plus Passwort-Hash

Alle Passwörter sind verschlüsselt. Rund bei der Hälfte greift das als sicher geltende Hash-Verfahren bcrypt. Beim Rest kommt ein einfacher SHA1-Hash mit Salt zum Einsatz. Diese Hashes lassen sich vergleichsweise schnell berechnen und Cracker könnten selbst gute Passwörter in überschaubarer Zeit knacken (siehe dazu Die Passwortknacker; Ein Blick hinter die Kulissen der Cracker).

Ein Blick von heise Security in die Daten zeigt, dass neben der E-Mail-Adresse von Dropbox-Nutzern stets der zugehörige Passwort-Hash auftaucht. Dort kann man auch ablesen, ob das eigene Passwort mit bcrypt oder SHA1 gehasht ist. Wer sein Dropbox-Passwort seit 2012 nicht geändert hat, sollte dies nun schleunigst nachholen.

Cracker-Ethik

White verfolgt eigenen Angaben zufolge keine kriminellen Absichten mit der Veröffentlichung. Viel mehr will er Sicherheitsforschern Forschungs-Material zur Verfügung stellen. Letztlich gehe es ihm darum, weitere Erkenntnisse über das Verschlüsseln von Passwörtern zu sammeln und so Anbieter, Firmen und Nutzer zu sensibilisieren. Whites Ansatz ist löblich, aber auch ein zweischneidiges Schwert: Schließlich könnten Kriminelle die veröffentlichten Daten missbrauchen.

White gibt zudem bekannt, in Zukunft nichts mehr zu leaken. Der Sicherheitsforscher will dafür künftig enger mit Firmen zusammenarbeiten, um deren Infrastruktur abzusichern und mehr Partnerschaften im Sicherheits-Bereich aufbauen. Das rücke sein Ziel das Internet sicherer zu machen in greifbarere Nähe.

White findet außerdem, dass Hacker moralischer handeln sollten. Das sei mehr wert, als wenn sie auf Teufel komm raus ausschließlich an ihrer Reputation feilten und letztlich der Gesellschaft keinen Dienst erwiesen.

Quelle: https://heise.de/-3340846

Permalink: https://www.netzwerkstudio.de/9kR8A