Dropbox-Nutzer, die sich vor Mitte 2012 für den Cloud-Speicherdienst angemeldet haben und seitdem ihr Passwort nicht geändert haben, sollten dies jetzt tun. Das rät der Dienst solchen Account-Inhabern per Email; außerdem weist auch eine Meldung beim Login darauf hin. Wer eine solche Email erhält, aber beim Login nicht zu einem Passwort-Wechsel aufgefordert wird, muss auch keinen Wechsel vornehmen, versichert Dropbox.

Der Aufforderung zum Paßwortwechsel liegt ein Datenleck aus dem Jahr 2012 zugrunde. Sicherheitsforscher von Dropbox sind eigenen Angaben zufolge erst jetzt auf die damals von Unbekannten abgezogene Liste mit Nutzerdaten gestoßen. In dieser Liste sollen sich Emailadressen und geschützte Passwörter (gehashed und salted) befinden.

Es soll sich beim Zurücksetzen der Passwörter um eine rein präventive Maßnahme handeln. Wer seinen Dropbox-Account noch weiter absichern will, sollte die Zwei-Faktor-Authentifizierung aktivieren.

Dann könnte sich ein Angreifer auch dann nicht einloggen, wenn er eine Emailadresse nebst passendem Passwort kennt: Der zweite Faktor in Form eines Sicherheitscodes ist für eine erfolgreiche Anmeldung unabdingbar. Dieser Code wird beispielsweise per SMS verschickt und zusätzlich zum Passwort abgefragt.