Dropbox wurde nicht einmal, nicht zweimal, sondern DREIMAL gehackt
Inhaltsverzeichnis
Dropbox wurde nicht einmal, nicht zweimal, sondern DREIMAL gehackt. Und trotzdem wollen sie, dass du ihnen deine Dateien anvertraust.
Schau mal, ich verstehe das. Dropbox ist praktisch. Es ist überall. Es ist einfach. Aber hier ist etwas, das dir niemand sagt: Dropbox wurde drei separate Male gehackt, und jedes Mal war es wegen derselben dämlichen Scheiße - kompromittierte Mitarbeiter-Anmeldedaten.
Lass mich dich durch diese Katastrophen-Chronik führen, weil sie gefährlich lehrreich ist.
Aber zuerst, lass mich klarstellen: Ich verdiene Geld mit Sync.com, Tresorit, Boxcryptor (Affiliate-Links). Ich verdiene $0 mit Google Drive, Dropbox, OneDrive, iCloud, MEGA (keine Affiliate-Programme oder ich habe sie abgelehnt). Ich bewerte nach tatsächlichem Wert und Datenschutz-Kosten, nicht nach Provision.
2012: Der 68-Millionen-Nutzer-Mega-Breach (den sie 4 Jahre lang versteckt haben)
2012 wurde Dropbox gehackt. Aber sie haben niemandem die ganze Geschichte erzählt bis 2016, vier Jahre später, als 68 Millionen Benutzernamen und Passwörter online auftauchten.
Wie es passierte: Ein Mitarbeiter hat sein Passwort von LinkedIn wiederverwendet (das gehackt worden war), um auf sein Dropbox-Konto zuzugreifen. Dieses Konto hatte ein Dokument mit Dropbox-Benutzer-E-Mails und Passwörtern. Klassischer Passwort-Wiederverwendungs-Fuckup.
Was exponiert wurde:
- 68 Millionen E-Mail-Adressen
- 68 Millionen Passwörter (die meisten waren gehasht und gesalzen, aber trotzdem)
Dropbox’ Reaktion: “Ups, wir haben erst vier Jahre später gemerkt, wie schlimm es war, als wir den Daten-Dump gefunden haben.”
Ja, das inspiriert Vertrauen. NICHT!
2022: Der GitHub-Phishing-Angriff
Schneller Vorlauf zum November 2022. Hacker haben einen Dropbox-Entwickler gephisht und Zugang zu seinem GitHub-Konto erhalten.
Wie es passierte: Social Engineering. Ein Entwickler wurde gephisht, gab seine Anmeldedaten heraus, und boom, hatten die Hacker Zugang zu 130 privaten Code-Repositories auf GitHub.
Was exponiert wurde:
- Interner Quellcode
- API-Schlüssel
- Entwickler-Anmeldedaten
- Potenziell Kundendaten (Dropbox war vage darüber)
Das Muster: Schon wieder eine kompromittierte Mitarbeiter-Anmeldedaten. Kein ausgeklügelter Zero-Day-Exploit. Nur gutes altes Phishing.
2024: Dropbox Sign wird komplett übernommen
April 2024. Das ist das Schlimmste, weil es jeden einzelnen Dropbox Sign-Nutzer betroffen hat (früher HelloSign, ihr E-Signatur-Produkt).
Laut Dropbox’ eigener Offenlegung haben Hacker Zugang zu einem “Service-Konto” mit erhöhten Berechtigungen erhalten und auf die gesamte Kunden-Datenbank zugegriffen.
Was exponiert wurde:
- E-Mails und Benutzernamen von allen Dropbox Sign-Nutzern
- Telefonnummern
- Gehashte Passwörter
- API-Schlüssel
- OAuth-Tokens
- Multi-Faktor-Authentifizierungsdaten
- Selbst Leute, die nur ein Dokument zum Unterzeichnen erhalten haben, hatten ihre Namen und E-Mails exponiert
Wie es passierte: Hacker haben ein automatisiertes Systemkonfigurations-Tool und ein Backend-Service-Konto kompromittiert. Dieses Konto hatte erhöhte Berechtigungen, so dass sie auf alles zugreifen konnten.
Dropbox’ Reaktion: Passwörter aller zurücksetzen, alle ausloggen, API-Schlüssel rotieren. Weißt du, das Zeug, das du machst, nachdem du schon übernommen wurdest.
Das Muster: Es sind immer Mitarbeiter-Anmeldedaten
Bemerkst du das Thema hier?
- 2012: Mitarbeiter-Passwort-Wiederverwendung
- 2022: Mitarbeiter-Phishing
- 2024: Kompromittiertes Service-Konto (immer noch ein Anmeldedaten-Problem)
Jetzt, um fair zu Dropbox zu sein: Mitarbeiter-Anmeldedaten sind das schwerste Scheißding zu sichern in der Cybersicherheit.
Laut dem Verizon 2024 Data Breach Investigations Report beinhalten 68% der Breaches ein menschliches Element, Phishing, gestohlene Anmeldedaten, Social Engineering. Selbst Google und Microsoft werden gephisht. Es ist kein Dropbox-Problem, es ist ein jedermanns Problem.
Warum bin ich trotzdem sauer?
Weil wenn du 700 Millionen Benutzer-Dateien hältst und drei Mal wegen desselben Grundes gehackt wurdest, musst du dein System so architektieren, dass eine einzelne kompromittierte Anmeldedaten nicht auf die gesamte Kunden-Datenbank zugreifen kann.
Der 2024-Breach ist das perfekte Beispiel: Ein kompromittiertes Service-Konto hatte “erhöhte Berechtigungen”, um auf die gesamte Dropbox Sign-Kunden-Datenbank zuzugreifen. Warum braucht ein automatisiertes Tool Zugang zu allem?
Das echte Problem ist nicht, dass Mitarbeiter gephisht werden. Das echte Problem ist, dass wenn sie es tun, der Blast-Radius massiv ist.
Firmen mit Zero-Knowledge-Verschlüsselung lösen das: Selbst wenn Hacker auf die Server zugreifen, können sie deine Dateien nicht lesen, weil sie deine Verschlüsselungsschlüssel nicht haben. Dropbox bietet das für normale Benutzer nicht an.
TL;DR: Ja, Anmeldedaten-Diebstahl ist schwer zu verhindern. Aber genau deshalb solltest du dein System so architektieren, dass du annimmst, dass es passieren wird. Dropbox hat das nicht getan.
Warum das für dich wichtig ist
Wenn du sensible Dateien auf Dropbox speicherst, musst du etwas verstehen: Dropbox bietet keine Zero-Knowledge-Verschlüsselung. Das bedeutet, Dropbox (und jeder, der sie hackt) kann theoretisch auf deine Dateien zugreifen.
Dropbox verwendet AES-256-Verschlüsselung, aber sie halten die Verschlüsselungsschlüssel. Wenn also Hacker in ihre Systeme eindringen, sitzen deine Dateien da, bereit zum Zugriff.
Vergleiche das mit Services wie Sync.com oder Tresorit, die Zero-Knowledge-Verschlüsselung anbieten, was bedeutet, dass selbst wenn sie gehackt werden, deine Dateien mit Schlüsseln verschlüsselt sind, die nur du hast.
Warum Sync.com und Tresorit besser sind.
Sync.com ist in Kanada basiert, das stärkere Datenschutzgesetze hat als die USA (kein Patriot-Act-Bullshit). Sie bieten Zero-Knowledge-Verschlüsselung standardmäßig auf allen Plänen, was bedeutet, dass sie buchstäblich nicht auf deine Dateien zugreifen können, selbst wenn sie wollten. Wenn ein Mitarbeiter bei Sync.com gephisht wird, bleiben deine Dateien verschlüsselt. Sie bieten auch 5GB kostenlos zum Testen an.
Tresorit ist in der Schweiz basiert (noch bessere Datenschutzgesetze) und verwendet Ende-zu-Ende-Verschlüsselung für alles. Sie sind teuer wie die Hölle, beginnen bei etwa $10.42/Monat, aber wenn du wirklich sensible Sachen speicherst (Rechtsdokumente, medizinische Aufzeichnungen, Finanzdaten), lohnt es sich. Schweizer Gerichtsbarkeit bedeutet, dass sie nicht US-Überwachungsgesetzen unterliegen.
Beide Dropbox-Alternativen gibt es seit Jahren ohne einen großen Breach. Nicht weil ihre Mitarbeiter unhackbar sind, sondern weil ihre Architektur annimmt, dass Mitarbeiter kompromittiert werden und baut darum herum.
Dropbox’ Architektur nimmt an, dass Mitarbeiter nicht kompromittiert werden. Sie wurden drei Mal widerlegt.
Was Dropbox dagegen tut
Nach dem Kauf von Boxcryptor im Jahr 2022 kündigte Dropbox an, private Verschlüsselung zu integrieren… aber nur zuerst für Business-Benutzer. Persönliche Benutzer? 3 Jahre später warten wir immer noch.
Also im Grunde, wenn du für Dropbox Business zahlst, könntest du irgendwann bessere Sicherheit bekommen. Wenn du ein normaler Benutzer bist, bist du immer noch verwundbar.
Mein Take: Three Strikes, You’re Out
Schau, ich sage nicht, dass Dropbox böse ist. Ich sage, sie haben drei separate Male bewiesen, dass sie Mitarbeiter-Anmeldedaten nicht sicher halten können. Und wenn dein gesamtes Sicherheitsmodell davon abhängt, diese Anmeldedaten sicher zu halten, ist das ein verdammtes Problem.
Optionen wenn du echte Sicherheit willst:
- Sync.com - Zero-Knowledge-Verschlüsselung, basiert in Kanada (bessere Datenschutzgesetze als die USA)
- Tresorit - Schweiz-basiert, Zero-Knowledge, teuer aber solide
- ProtonDrive - Von den ProtonMail-Leuten, Zero-Knowledge, wächst noch
- Cryptomator - Verschlüssele deine Dateien lokal bevor du sie zu Dropbox hochlädst (wenn du bei ihnen bleiben musst)
Oder bleib bei Dropbox. Wisse nur, dass du einer Firma vertraust, die drei Mal gehackt wurde, immer aus demselben Grund, und immer noch keine Zero-Knowledge-Verschlüsselung für normale Benutzer anbietet.
Deine Dateien, dein Risiko.
Vertrauen Sie KEINER Review-Seite. Affiliate-Provisionen bestimmen deren Rankings. Dies ist auch eine Affiliate-Seite, aber ich bin ehrlich darüber, was ich verdiene, und ich bewerte nach Qualität statt nach Auszahlung. Selbst wenn das bedeutet, dass ich 0 $ bezahlt werde. Lesen Sie über meinen Ansatz und warum ich aufgehört habe zu lügen. Hier sind die Rohdaten, damit Sie alles selbst überprüfen können.