Zaledwie kilka dni temu pojawiła się informacja na stronie firmy, wraz z nią ruszyła masowa wysyłka wiadomości e-mail na konta, które nie zmieniały haseł, co najmniej od 2012 roku. Firma przyznała się do tego, że ktoś uzyskał dostęp do starej paczki danych zawierającej adresy e-mail oraz haseł w postaci soli oraz hashów. Sól w kryptografii to losowe dane dodawane do ciągu znaków, tak żeby uchronić je przed typowymi atakami słownikowymi. Z kolei hash polega na przedstawieniu haseł w postaci ciągu losowych i niepowiązanych ze sobą w żaden sposób znaków.
Jak podaję firma Dropbox, obecnie nie są znane żadnej przypadki wykorzystania haseł oraz adresów e-mail do włamań na inne serwisy, czy konta Dropbox. Jednak jak podaję firma, osoby które nie zmieniały hasła od co najmniej 2012 powinny uczynić to natychmiast, z powodu paczki danych, która dostała się w niepowołane ręce hakerów. Paczka 68 mln danych wydaję się być właśnie tą, wykradzioną z jednego z komputerów pracowników firmy. Sprawę potwierdza Troy Hunt, który jest jednym z najbardziej znanych badaczy cyberbezpieczeństwa.
Firma w swoim komunikacie jednocześnie zachęca do korzystania z usług autoryzacji dwustopniowej, która jest obecnie dostępna dla wszystkich klientów firmy, zarówno darmowych jak ich płacących za usługi. Jednocześnie firma zaleca stosowanie haseł bezpiecznych, unikanie używania tych samych haseł na różnych portalach oraz korzystanie z urządzeń posiadających odpowiedni poziom zabezpieczeń.
Problem jednak nie wydaje się polegać, na tym, że firma Dropbox poinformowała o sytuacji w której ktoś uzyskał dostęp do danych użytkowników, a na tym, że firma pochyliła się szerzej nad tym tematem dopiero po 4 latach. Nie jest tak oczywiście, że w 2012 firma zaprzeczała atakowi, wtedy jednak potraktowała sam wyciek danych pobłażliwie twierdząc, że sama sprawa dotyczy zaledwie kilku użytkowników. Nie pojawiła się także informacja prosząca o natychmiastową zmianę haseł, co zdaniem ekspertów cyberbezpieczeństwa powinno zostać zrobione. Zamiast tego, jak czytamy komunikat z 2012 – W niektórych przypadkach możemy poprosić użytkowników o zmianę haseł. Na przykład z powodu jego powszechnego wykorzystania lub kiedy nie dawno nie było zmieniane – znajduję się w komunikacie firmy z 31 lipca 2012 roku, czyli 2 tygodnie po samym ataku.
W celu sprawdzenia czy dane dostępowe do konta wyciekły w którymś z ostatnich ataków na popularne serwisy polecamy odwiedzenie portalu Have I been pwned? Stworzonego przez Troya Hunta.
Czytaj też: Atak na Fundację George'a Sorosa, wyciek 2,5 tys. poufnych dokumentów