Közel 70 millió Dropbox-fiók adatait lopták el hacekerek – írja a Motherboard. A lap hozzá is jutott négy fájlhoz, amely 68,7 millió e-mail címet és hashelt jelszót tartalmazott. A fájlok tartalmának hitelességét egy Dropbox-alkalmazott is megerősítette. Az incidens még 2012-ben történhetett, de mértékére csak most derült fény. A Dropbox biztonsági csapat nem talált olyan információt, amely arra utalt, hogy felhasználták volna az ellopott adatokat.

Először is jelszót kellett módosítani

Pár napja a Dropbox közleményt adott ki arról, hogy felhasználóinak egy része bejelentkezéskor kénytelen lesz módosítani a jelszavát. A közleményben a cég az intézkedést egy 2012-es, amúgy érzékelt támadásra vezeti vissza, és elsősorban azoknak tette most kötelezővé a módosítást, akik a támadás óta egyszer sem nem változtatták meg a jelszavukat.

A Dropbox közleménye szerint nincsenek arra utaló jelek, hogy a jelszavakat felhasználták. Szakértők is ezt valószínűsítik az alapján, hogy kb. 32 millió jelszónál a meglehetősen erős bcrypt hash-függvényt használták, a többinél viszont az SH-1-et, amiről már egy ideje azt rebesgetik, hogy egyre kevésbé jelent biztonságot.

Az most már igazából csak mellékszál a történetben, hogy a 2012-es incidens bejelentésénél a Dropbox csak a fiókokhoz tartozó e-mail címek kikerüléséről beszélt, arról nem, hogy a jelszavak is kikerültek. Ugyanakkor az, hogy a Dropbox a jelszavakat titkosítva tárolja, valószínűsíti azt is, hogy a tolvajok nem egykönnyen dekódolják az ellopott információkat.

Nehéz hülyebiztossá tenni

Mint minden esetben, az ilyen incidensek mögött a legtöbb esetben az emberi hanyagság áll. Azaz például azt használják ki, hogy egy felhasználó ugyanazt a jelszót használja valamelyik közösségi oldalon, mint a vállalati rendszerében. A közösségi oldalak többek között ezért is népszerű célpontjai a hackereknek: a LinkedIn, a MySpace, a Tubmlr és a Facebook is többször esett már áldozatul, és sok millió jelszó jutott így hackerek birtokába.

Bár az ilyen jellegű adatok önmagukban nem képviselnek komolyabb értéket a feketepiacon, további támadásokhoz kiváló alapot adnak.  Egyes források szerint a Dropbox esetében is ez történ: LinkedIn-jelszavak újrahasznosításával sikerült betörni a Dropbox rendszerébe.

Ráadásul egyre komolyabb számokról van szó. A Dropboxnak egy márciusi közlemény szerint mintegy 500 millió felhasználója van, arra azonban legfeljebb becslések lehetnek, hogy abból mennyi az aktív fiók. A közel 70 millió kompromittált fiók még a félmilliárdos felhasználói bázishoz képest is nagy szám, de ha az összes adat még 2012-ben került ki, akkor még brutálisabb az arány, akkor ugyanis még csak 100 millió felhasználója volt a felhős szolgáltatónak.

Használjon már végre kétfaktoros azonosítást!

A Dropbox annak ellenére, hogy propagálja a kétfaktoros azonosítást, egyelőre nem kényszeríti felhasználóit annak alkalmazására. A vállalat a munkatársaitól azonban megköveteli, és minden alkalmazottjának használnia kell a 1Password nevű jelszókezelő szolgáltatást is.

Térjen át ön is a kétfaktoros azonosításra. De előtte módosítsa a jelszavát, még akkor is, ha arra a Dropbox nem szólítja fel bejelentkezéskor.