Niestety potwierdziły się plotki z ostatnich tygodni – w rękach włamywaczy znajduje się baza ponad 68 milionów loginów i skrótów haseł uzytkowników Dropboxa pochodząca z połowy roku 2012. Czas zatem znowu przejrzeć swoje hasła.
Kilka dni temu Dropbox zaczął niektórym użytkownikom rozsyłać komunikat sugerujący konieczność zmiany hasła, jednak wiadomość była sformułowana bardzo łagodnie i nie sugerowała nagłej konieczności. Dopiero dzisiaj dostaliśmy ostateczne potwierdzenie wskazujące, że dane uzytkowników zostały faktycznie ujawnione.
Niezbyt eleganckie zachowanie Dropboxa
Gdy 4 lata temu, w lipcu 2012 napisaliśmy o podejrzeniu wycieku danych klientów Dropboxa przedstawiając całkiem przekonujące dowody, musieliśmy czekać aż dwa tygodnie na to, by Dropbox przyznał się do tego, co się stało. Wielu internautów dostawało dedykowany spam na adresy email używane wyłącznie w Dropboxie a do tego język spamu był zgodny z informacją o kraju, którą Dropboxowi podali – a niekoniecznie wynikał z ich danych personalnych lub adresu email. Po długim śledztwie Dropbox poinformował, że dane pochodziły z konta jednego z pracowników, do którego przestępcy dostali się, ponieważ używał tego samego hasła w innym serwisie. Wykradzione wówczas miały być tylko adresy email. Niestety to też okazało się nieprawdą.
Kilka dni temu Dropbox rozesłał do części uzytkowników wiadomość o następującej treści:
chcemy Cię poinformować, że nie aktualizowałeś(aś) swojego hasłaDropbox od połowy 2012 r.; poprosimy Cię o zaktualizowanie go przy następnym logowaniu. Jest to działanie wyłącznie zapobiegawcze, bardzo przepraszamy za ewentualne niedogodności.
Aby dowiedzieć się więcej na temat tego, dlaczego wprowadzamy takie środki ostrożności, odwiedź tę stronę w naszym centrum pomocy. Jeśli masz jakieś pytania, skontaktuj się z nami pod adresempassword-reset-help@dropbox.
Dziękujemy
Zespół Dropbox
Zwróćcie uwagę na fragment „jest to działanie wyłącznie zapobiegawcze”, które jest miękkim kłamstwem. W artykule, do którego prowadzi link, możemy już przeczytać:
Zatem „działanie zapobiegawcze” oznacza w tym kontekście, że wg Dropboxa nikt nie zaglądał na Wasze konta, a jedynie mógł poznać Wasz adres email oraz hasło. No tak, to faktycznie nie ma problemu. Szkoda, że firma zapomniała o tym wspomnieć w roku 2012.
Potwierdzenie wycieku
Znany badacz wycieków danych Troy Hunt otrzymał paczkę zawierającą dane ponad 68 milionów kont uzytkowników Dropboxa zawierającą oprócz adresów email także hasze haseł. Jest to bardzo zła informacja – choć na szczęście jest także nutka nadziei dla osób, które miały silne hasła. Otóż w bazie znajdują się dwa rodzaje haszy – jeden z nich to SHA1 (ujawniony bez soli, choć nie mamy pewności, czy sól nie trafiła w ręce włamywaczy) a drugi to bardzo silny bcrypt, znacząco utrudniający odgadywanie zahaszowanych nim haseł. Aby potwierdzić prawdziwość wycieku Troy znalazł w nim i złamał hasło swojej żony:
Jeśli nie wiecie, czy Wasz adres znalazł się w tym wycieku, możecie to sprawdzić na stronie Troya Hunta (tak, możecie mu podać swój adres, jest osobą zaufaną).
Komentarze
Ciekawe czy żona używała takiego samego hasła w innych serwisach…
Niestety moje hasło zostało wtedy wykradzione. :( Zostało znalezione na tej stronie.
U mnie taki Dropbox trochę się skompromitował, że zatrudnił Condoleezze Rice. A wiemy kim ta pani była.
Wyciek i długa zwłoka też dużo mówi o tej firmie. Ważniejsze było sprawdzenie kilku kont ważnych osob i co tam miały oraz złapanie osob za to odpowiedzialnych, niż rzetelna informacja dla reszty userów. Podobnie działa rząd USA, dla nich zwykły człowiek nie znaczy nic.
http://www.chip.pl/news/wydarzenia/umowy-i-fuzje/2014/04/condoleezza-rice-w-zarzadzie-dropboxa
Macie blad w tytule: „wykradziono”.
Moj blad: kawa jeszcze widocznie nie zadzialala :)
Trocha fake bo ja zmianielem haslo jakis rok temu i tez dostalem maila….
czyli wysylaja do wszystkich a nie do ludzi ktorzy nie zmieniali od 2012
Ja zmieniałem hasło od 2012 juz kilka razy – ostatni raz trzy miesiące temu i też dostałem email z prośbą o zmianę. Stronka pokazuje, że moje dane wyciekły.
Dziwne, bo ja nie dostałem maila od nich. Czy to dlatego, że miałem weryfikację dwuetapową?
Myślę, że warto dodać na koniec artykułu sugestię dla użytkowników Dropboxa aby włączyli weryfikację dwuetapową.
Szczerze powiedziawszy sam nie wiedziałem, że Dropbox taką ma i dowiedziałem się o niej dopiero z podobnego artykułu na innej stronie.