Dwa tygodnie temu napisaliśmy o podejrzeniu wycieku danych użytkowników Dropboxa. Użytkownicy otrzymywali specyficzny rodzaj spamu na konta, których adres mógł znać tylko Dropbox. Dropbox długo zaprzeczał wyciekowi danych – aż do dzisiaj.
Zaczęło się od wpisów na forum Dropboxa. Użytkownicy usługi informowali, że otrzymują spam w postaci reklam kasyna Euro Dice. Z każdą godziną pojawiały się nowe wpisy. Ich cechą charakterystyczną było to, że spam przychodził na adresy email, które tworzone były specjalnie na potrzeby Dropboxsa i nieużywane nigdzie indziej. Nic innego nie łączyło odbiorców spamu. Dodatkowo, każdy odbiorca otrzymywał email w swoim języku – Niemcy po niemiecku, Holendrzy po holendersku, Anglicy po angielsku… Jedyną możliwą odpowiedzią był wyciek danych z serwerów Dropboxa.
Ciekawy aspektem był też fakt, że spamu nie otrzymywali użytkownicy z USA. Jak wykazaliśmy w naszym wcześniejszym artykule, spamerzy korzystali z programu partnerskiego AffClub, który wykluczał wypłaty dla klientów z USA (gdzie hazard elektroniczny jest zakazany).
Dwa tygodnie poszukiwań
Mimo przynajmniej setki zgłoszeń Dropbox przez dwa tygodnie nie potrafił natrafić na ślad wycieku. Informował, że zaangażował zewnętrznych śledczych, lecz ciągle brakowało odpowiedzi, skąd spamerzy otrzymali dane klientów firmy. Dzisiaj niektórzy użytkownicy Droppboxa otrzymali dziwny email.
Możemy w nim wyczytać, że „niedawno hasła zostały wykradzione z różnych serwisów internetowych” (aluzja do LinkedIn czy Last.fm) a „wiele osób korzysta z tego samego hasła w innych serwisach, dlatego zresetowaliśmy Twoje hasło”. Ani słowa o włamaniu. Ani słowa o wycieku danych z Dropboxa. A email otrzymali również użytkownicy, którzy stosowali w Dropboxie unikalne hasło!
A na blogu napiszemy coś innego
Oprócz tego pojawił się wpis na blogu Dropboxa. Tam dla odmiany czytamy, że „hasła i loginy wykradzione z innych serwisów były użyte by uzyskać nieautoryzowany dostęp do skrzynek niektórych użytkowników”. A dodatkowo „jedną ze skrzynek była skrzynka pracownika Dropboxa, który pracował nad projektem, w którym potrzebował listy adresów email użytkowników Dropboxa i to stamtąd wyciekły Wasze adresy”.
Podsumowanie
Wygląda więc na to, że Dropbox stara się ukryć prawdę – co innego pisze w emailu do użytkowników, którym zresetował hasła, a co innego na swoim blogu. Co gorsza, sugeruje, wymuszając zmianę haseł użytkowników, którzy posiadali unikalne, złożone hasła, że być może ich hasło w jakiś sposób również wyciekło – co oznaczałoby brak hashowania haseł. Dropbox zdecydowanie nie rozwiązał problemu – patrząc po komentarzach niezadowolonych użytkowników, tylko zamiótł sprawę pod dywan.