Microsofts Web-Mail-Dienste attackiert: Unbekannte konnten E-Mail-Adressen und Ordnernamen einsehen

Unbekannte konnten sich Mitte April 2019 Zugriff auf die Web-Mail-Dienste von Microsoft verschaffen. Dabei konnten E-Mail-Adressen und Ordnernamen von Diensten wie @hotmail.com und @msn.com eingesehen werden. Laut Informationen des Tech-Blogs TechCrunch seien nicht alle Nutzer betroffen, sondern lediglich ein Teil. Wie viele Nutzer genau betroffen sind, ist nicht bekannt.

E-Mail-Inhalte konnten nicht ausgespäht werden, allerdings andere sensible Daten

Microsoft bestätigte den Angriff bereits gegenüber TechCrunch und dem Technikportal The Verge. Dabei betonte das Redmonder Unternehmen, dass die Angreifer nicht auf Inhalte der E-Mails zugreifen konnten. Eingesehen werden konnten dennoch E-Mail-Adressen, Überschriften von E-Mails und Ordnernamen. Am Freitag verschickte Microsoft Informationen an betroffene Kunden.

Angreifer hatten fast drei Monate Zugriff auf bestimmte Accounts

Natürlich empfiehlt Microsoft, die Passwörter bei betroffenen E-Mail-Konten zu ändern. Außerdem betonte das Unternehmen, dass Nutzer sich vor Phishing-Versuchen in Acht nehmen sollen; hierbei versuchen Kriminelle, mittels fingierter Login-Seiten an Zugangsinformationen zu gelangen. Die Angreifer erhielten die Daten offenbar, indem gestohlene Zugangsdaten eines Kundenservice-Mitarbeiters genutzt wurden. Die Hacker hatten vom 1. Januar bis zum 28. März 2019 Einsicht zu entsprechenden Daten.

Cloud-Speicher-Dienst Dropbox: 68 Mio. Datensätze im Jahr 2012 erbeutet

Bild: Dropbox-Logo
Bild: Dropbox-Logo

Wie erst jetzt bekannt wurde, konnten Hacker vor gut vier Jahren 68 Millionen Datensätze von NutzerInnen des Cloud-Speicher-Dienstes Dropbox erbeuten. Die Angreifer erhielten dabei Zugriff auf Nutzernamen und Passwörter. Zwar sind die Passwörter verschlüsselt, etwa die Hälfte allerdings per SHA1-Hash mit Salt – diese Verschlüsselungsmethode ist mittlerweile als Sicherheitsrisiko eingestuft, da es möglich ist, diese zu entschlüsseln. Die mit bcrypt verschlüsselten Datensätze gelten als sicher.

Dropbox-Mitarbeiter handelte fahrlässig

Möglich wurde der Angriff durch die Fahrlässigkeit eines Dropbox-Mitarbeiters, der ein identisches Passwort beim sozialen Netzwerk LinkedIn und am Arbeitsplatz nutzte. Die Hacker kopierten die fünf Gigabyte großen Datensätze, nachdem sie Zugriff auf den Mitarbeiter-Account erhielten.

In der vergangenen Woche informierte Dropbox seine NutzerInnen und forderte dazu auf, das Passwort zu ändern. Sollte fahrlässig auch bei anderen Diensten das gleiche oder ein ähnliches Passwort genutzt werden, sollte dies dort auch geändert werden. Bisher hatte Dropbox lediglich von einem Datenleck gesprochen, das ganze Ausmaß ist erst jetzt öffentlich gemacht worden. Sicherheitsexperte Troy Hunt betreibt die Seite „Have I been pwned“, wo in die Suchmaske eingegebene E-Mail-Adressen mit Listen bekannter Hacks abgeglichen werden. So sollen NutzerInnen erkennen können, welche Datensätze mit Sicherheit entwendet wurden. Allerdings bedeutet es nicht zwangsläufig, dass ein Account sicher ist, falls kein Treffer angezeigt wird. Grundlegende Regeln zum Erstellen sicherer Passwörter sollten ebenso beachtet werden wie ein regelmäßiges Ändern selbiger.

Sicherheitsrisiko Cloud-Software

Cloud-Dienste sind in aller Munde – insbesondere in den Marketing-Abteilungen vieler Konzerne. Das bedeutet aber auch, dass diese Dienste zunehmend von Kriminellen angegriffen werden, da die stärkere Verbreitung ein lohnenswerteres Ziel schafft. Immer wieder liest man in der Vergangenheit von Angriffen auf Cloud-Dienste, in jüngster Zeit neben Dropbox beispielsweise auch LinkedIn, Opera oder Apple. NutzerInnen sollten abwägen, in welcher Relation Nutzen und Risiko stehen. Sicherlich mag das Arbeiten in der Cloud Vorteile mitbringen, allerdings ist es auch eine Vertrauenssache. Sind die Daten auf fremden Servern abgelegt und nicht lokal gespeichert, können Dritte – sofern Sicherheitsmechaniken umgangen und Verschlüsselungen geknackt werden – potenziell Zugriff auf diese Datensätze erhalten, ohne dass User dies sofort bemerken. Lokal gespeicherte Daten hingegen können besser geschützt und überwacht werden. Sensible Daten sind deshalb nur sehr bedingt für die Speicherung in der Cloud geeignet. Für viele NutzerInnen kann die Kaufversion einer Software wesentlich besser geeignet sein als eine Miet- und/oder Cloud-Version mit monatlichen Folgekosten, externer Sicherung von Daten, automatischen Updates und einer erhöhten Chance auf Probleme in der Live-Version.