Wer sich zuletzt über eine Mail von Dropbox gewundert hat, in der zum Passwortwechsel aufgerufen wurde, dem sei gesagt: Es war kein Phishing, sondern die Reaktion des Cloud-Unternehmens auf einen Hack aus dem Jahre 2012. In der Mail an die Nutzer hieß es allerdings nur:

[…] falls Sie Ihr Dropbox-Kennwort seit Mitte 2012 nicht geändert haben, werden Sie bei Ihrer nächsten Anmeldung dazu aufgefordert. Dies ist eine rein präventive Maßnahme – wir danken Ihnen für Ihre Mithilfe.

Im Blog des Unternehmens wird etwas genauer erklärt, warum die User die Passwörter ändern sollen. Und so ganz präventiv scheint der Grund doch nicht zu sein: Motherboard hat eine Auswahl der Daten zugespielt bekommen, die Mailadressen und gehashte Passwörter enthielten. Gegenüber Motherboard versicherte ein Dropbox-Mitarbeiter inoffiziell die Echtheit der Daten. Gefährdet sind vor allem Accounts, deren Passwörter noch mit einem veralteten Hash-Verfahren verschlüsselt wurden. Aus den Hashes dieser Passwörter kann das Klartext-Passwort im Zweifelsfall in vergleichbar kurzer Zeit ermittelt werden.

Wer auf Nummer sicher gehen will, sollte also sein Passwort bei Dropbox ändern und die 2-Faktor-Authentifizierung aktivieren. Und natürlich die Daten auf der Dropbox selbst nur verschlüsselt ablegen.

Update 01.09.2016:

Dropbox hat uns gegenüber nun den Hack auch offiziell bestätigt, und auch der Blogpost des Unternehmens wurde aktualisiert.