Von Dropbox wurden die Ergebnisse einer Untersuchung eines Hacks der Dropbox-Infrastruktur bekannt gegeben. Das Unternehmen gibt allerdings nicht an, wann der Vorfall tats\u00e4chlich stattgefunden hat. Es hei\u00dft lediglich, dass der Angriff von Mitarbeitern des Unternehmens am 24. April bemerkt wurde. Hier erkl\u00e4ren wir, was passiert ist, welche Daten geleakt wurden und wie Sie sich und Ihr Unternehmen vor den Folgen des Vorfalls sch\u00fctzen k\u00f6nnen.<\/p>\n
Unbekannten Angreifern ist es gelungen, das Konto des Dropbox Sign-Dienstes zu kompromittieren und so Zugriff auf den plattforminternen automatischen Konfigurationsmechanismus zu erhalten. Mit diesem Zugang konnten die Hacker auf eine Datenbank zugreifen, die Informationen \u00fcber Dropbox Sign-Nutzer enth\u00e4lt.
\nInfolgedessen wurden die folgenden Daten von registrierten Nutzern des Sign-Dienstes entwendet:<\/p>\n
Wenn Nutzer des Dienstes mit dem Dienst interagiert haben, ohne ein Konto zu erstellen, sind nur ihre Namen und E-Mail-Adressen geleakt worden.<\/p>\n
Dropbox behauptet, dass es keine Anzeichen f\u00fcr einen unbefugten Zugriff auf die Inhalte der Benutzerkonten \u2013 also Dokumente und Vertr\u00e4ge sowie Zahlungsinformationen \u2013 gefunden hat.
\nAls Schutzma\u00dfnahme hat Dropbox die Passw\u00f6rter f\u00fcr alle Dropbox Sign-Konten zur\u00fcckgesetzt und alle aktiven Sitzungen beendet, sodass Sie sich erneut bei dem Dienst anmelden und ein neues Passwort festlegen m\u00fcssen.<\/p>\n
Dropbox Sign, fr\u00fcher bekannt als HelloSign, ist das eigenst\u00e4ndige Cloud-Dokumenten-Workflow-Tool von Dropbox, das haupts\u00e4chlich zum Signieren elektronischer Dokumente verwendet wird. Die \u00e4hnlichsten Vertreter dieses Dienstes sind DocuSign und Adobe Sign.
\nWie das Unternehmen in seiner Erkl\u00e4rung betont, ist die Infrastruktur von Dropbox Sign \u201eweitgehend von den anderen Dropbox-Diensten getrennt\u201c. Nach den Untersuchungsergebnissen des Unternehmens zu urteilen, war der Dropbox Sign-Hack ein isolierter Vorfall und betraf keine anderen Dropbox-Produkte. Nach den Informationen, die wir jetzt haben, ist der Hack also in keiner Weise eine Bedrohung f\u00fcr die Nutzer des Hauptdienstes des Unternehmens, dem Cloud-Dateispeicher Dropbox selbst. Dies gilt auch f\u00fcr die Nutzer, deren Sign-Konto mit ihrem Dropbox-Hauptkonto verkn\u00fcpft war.<\/p>\n
Dropbox hat die Passw\u00f6rter f\u00fcr alle Dropbox Sign-Konten bereits zur\u00fcckgesetzt. Sie m\u00fcssen also auf jeden Fall das Passwort \u00e4ndern. Wir empfehlen Ihnen, ein v\u00f6llig neues Passwort zu verwenden und nicht nur eine leicht ver\u00e4nderte Version des alten Passworts. Idealerweise sollten Sie eine lange zuf\u00e4llige Zeichenkombination mit dem Passwortmanager<\/a> generieren und dort speichern.<\/p>\n Da die Token f\u00fcr die Zwei-Faktor-Authentifizierung auch gestohlen wurden, sollten Sie diese ebenfalls zur\u00fccksetzen. Wenn Sie eine SMS verwendet haben, geschieht das Zur\u00fccksetzen automatisch. Wenn Sie eine Anwendung verwendet haben, m\u00fcssen Sie dies selbst tun. Dazu m\u00fcssen Sie Ihre Authentifizierungs-App erneut beim Dropbox Sign-Dienst registrieren.<\/p>\n Die Liste der von den Hackern gestohlenen Daten enth\u00e4lt auch die Authentifizierungsschl\u00fcssel f\u00fcr die Dropbox Sign API. Wenn Ihr Unternehmen dieses Tool \u00fcber die API verwendet hat, m\u00fcssen Sie folglich einen neuen Schl\u00fcssel generieren.<\/p>\n