31.08.2016 | 10:17

Adam Haertle

Z Dropboxa wykradziono dane użytkowników i to ponad 4 lata temu

Niestety potwierdziły się plotki z ostatnich tygodni – w rękach włamywaczy znajduje się baza ponad 68 milionów loginów i skrótów haseł uzytkowników Dropboxa pochodząca z połowy roku 2012. Czas zatem znowu przejrzeć swoje hasła.

Kilka dni temu Dropbox zaczął niektórym użytkownikom rozsyłać komunikat sugerujący konieczność zmiany hasła, jednak wiadomość była sformułowana bardzo łagodnie i nie sugerowała nagłej konieczności. Dopiero dzisiaj dostaliśmy ostateczne potwierdzenie wskazujące, że dane uzytkowników zostały faktycznie ujawnione.

Niezbyt eleganckie zachowanie Dropboxa

Gdy 4 lata temu, w lipcu 2012 napisaliśmy o podejrzeniu wycieku danych klientów Dropboxa przedstawiając całkiem przekonujące dowody, musieliśmy czekać aż dwa tygodnie na to, by Dropbox przyznał się do tego, co się stało. Wielu internautów dostawało dedykowany spam na adresy email używane wyłącznie w Dropboxie a do tego język spamu był zgodny z informacją o kraju, którą Dropboxowi podali – a niekoniecznie wynikał z ich danych personalnych lub adresu email.  Po długim śledztwie Dropbox poinformował, że dane pochodziły z konta jednego z pracowników, do którego przestępcy dostali się, ponieważ używał tego samego hasła w innym serwisie. Wykradzione wówczas miały być tylko adresy email. Niestety to też okazało się nieprawdą.

Kilka dni temu Dropbox rozesłał do części uzytkowników wiadomość o następującej treści:

Witaj, xxx,

chcemy Cię poinformować, że nie aktualizowałeś(aś) swojego hasłaDropbox od połowy 2012 r.; poprosimy Cię o zaktualizowanie go przy następnym logowaniu. Jest to działanie wyłącznie zapobiegawcze, bardzo przepraszamy za ewentualne niedogodności.

Aby dowiedzieć się więcej na temat tego, dlaczego wprowadzamy takie środki ostrożności, odwiedź tę stronę w naszym centrum pomocy. Jeśli masz jakieś pytania, skontaktuj się z nami pod adresempassword-reset-help@dropbox.com.

Dziękujemy
Zespół Dropbox

Zwróćcie uwagę na fragment „jest to działanie wyłącznie zapobiegawcze”, które jest miękkim kłamstwem. W artykule, do którego prowadzi link, możemy już przeczytać:

Nasze zespoły ds. bezpieczeństwa stale wypatrują nowych zagrożeń dla użytkowników. W ramach tych czynności dowiedzieliśmy się o starym zbiorze poświadczeń użytkowników Dropbox (adresów e-mail oraz zahashowanych haseł z ciągiem zaburzającym), które według nas zostały pozyskane w 2012 r. Z naszych analiz wynika, że poświadczenia te mają związek ze zdarzeniem, które ujawniliśmy mniej więcej w tym czasie.

Zatem „działanie zapobiegawcze” oznacza w tym kontekście, że wg Dropboxa nikt nie zaglądał na Wasze konta, a jedynie mógł poznać Wasz adres email oraz hasło. No tak, to faktycznie nie ma problemu. Szkoda, że firma zapomniała o tym wspomnieć w roku 2012.

Potwierdzenie wycieku

Znany badacz wycieków danych  Troy Hunt otrzymał paczkę zawierającą dane ponad 68 milionów kont uzytkowników Dropboxa zawierającą oprócz adresów email  także hasze haseł. Jest to bardzo zła informacja – choć na szczęście jest także nutka nadziei dla osób, które miały silne hasła. Otóż w bazie znajdują się dwa rodzaje haszy – jeden z nich to SHA1 (ujawniony bez soli, choć nie mamy pewności, czy sól nie trafiła w ręce włamywaczy) a drugi to bardzo silny bcrypt, znacząco utrudniający odgadywanie zahaszowanych nim haseł. Aby potwierdzić prawdziwość wycieku Troy znalazł w nim i złamał hasło swojej żony:

droppbox

Jeśli nie wiecie, czy Wasz adres znalazł się w tym wycieku, możecie to sprawdzić na stronie Troya Hunta (tak, możecie mu podać swój adres, jest osobą zaufaną).

Powrót

Komentarze

  • 2016.08.31 11:19 Adam

    Ciekawe czy żona używała takiego samego hasła w innych serwisach…

    Odpowiedz
  • 2016.08.31 12:15 Dominik

    Niestety moje hasło zostało wtedy wykradzione. :( Zostało znalezione na tej stronie.

    Odpowiedz
  • 2016.08.31 12:32 ucznik/thepoker

    U mnie taki Dropbox trochę się skompromitował, że zatrudnił Condoleezze Rice. A wiemy kim ta pani była.
    Wyciek i długa zwłoka też dużo mówi o tej firmie. Ważniejsze było sprawdzenie kilku kont ważnych osob i co tam miały oraz złapanie osob za to odpowiedzialnych, niż rzetelna informacja dla reszty userów. Podobnie działa rząd USA, dla nich zwykły człowiek nie znaczy nic.
    http://www.chip.pl/news/wydarzenia/umowy-i-fuzje/2014/04/condoleezza-rice-w-zarzadzie-dropboxa

    Odpowiedz
  • 2016.08.31 12:43 Jerzy

    Macie blad w tytule: „wykradziono”.

    Odpowiedz
    • 2016.08.31 12:45 Jerzy

      Moj blad: kawa jeszcze widocznie nie zadzialala :)

      Odpowiedz
  • 2016.08.31 12:44 Pawel

    Trocha fake bo ja zmianielem haslo jakis rok temu i tez dostalem maila….
    czyli wysylaja do wszystkich a nie do ludzi ktorzy nie zmieniali od 2012

    Odpowiedz
    • 2016.08.31 17:58 Jarek

      Ja zmieniałem hasło od 2012 juz kilka razy – ostatni raz trzy miesiące temu i też dostałem email z prośbą o zmianę. Stronka pokazuje, że moje dane wyciekły.

      Odpowiedz
  • 2016.08.31 15:04 Bartek

    Dziwne, bo ja nie dostałem maila od nich. Czy to dlatego, że miałem weryfikację dwuetapową?

    Odpowiedz
  • 2016.09.01 09:56 Kornel

    Myślę, że warto dodać na koniec artykułu sugestię dla użytkowników Dropboxa aby włączyli weryfikację dwuetapową.
    Szczerze powiedziawszy sam nie wiedziałem, że Dropbox taką ma i dowiedziałem się o niej dopiero z podobnego artykułu na innej stronie.

    Odpowiedz

Zostaw odpowiedź do Dominik

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Z Dropboxa wykradziono dane użytkowników i to ponad 4 lata temu

Komentarze