Včera tento cloudový proider úložných služeb potvrdil zvěsti o tom, že byly ukradené informace o 68 milionech e-mailových adres a hesel. Jde přitom o únik dat starý už několik let.
Velká část hesel je zašifrována velmi bezpečně pomocí bcryptu, zbytek kombinací stárnoucího SHA-1 a kryptografické soli. Uživatelům tedy s nejvyšší pravděpodobností nehrozilo bezprostřední nebezpečí.
Resetování hesel, které už proběhlo, podle vyjádření firmy zaručilo bezpečnost všech potenciálně dotčených účtů. Během minulého týdne firma požádala uživatele s účty z roku 2012 nebo staršími, aby si heslo sami změnili. Jako důvod Dropbox uvedl preventivní opatření, nikoliv to, že účty uživatelů mohou být v ohrožení.
Na ukradené informace ze čtyři roky starého úniku dat už v úterý upozornil server Motherboard. „Žádný malý hack… ukradeno bylo 68 milionů záznamů,“ popisuje Troy Hunt, zakladatel služby Have I been Pwned? (HIBP), která umožňuje návštěvníkům zjistit, zda se jich nedotkl některý z odhalených úniků dat.
Dropbox se ke způsobu úniku dat nevyjádřil. „Neexistuje pochyb o tom, že uniklá data skutečně obsahují reálná hesla, takovou věc nejde jednoduše zfalšovat,“ pokračuje Hunt.
Jeho web HIBP odeslal 144 136 e-mailů svým odběratelům, a před nově odhaleným únikem je varoval. Z celkového počtu 68,6 milionů zasažených účtů však jde o nepatrný zlomek.
V červenci 2012 Dropbox odhalil, že uživatelská jména a hesla ukradená z jiných účtů využili útočníci k připojení se na několik Dropbox účtů. Zasažené uživatele prý firma kontaktovala a pomohla jim účet opět zabezpečit.
Ukradené heslo také vedlo k účtu jednoho ze zaměstnanců společnosti, jenž obsahoval projektový dokument s emailovými adresami mnoha uživatelů; to vedlo k hromadnému spamu na emailové schránky zákazníků, popsala tehdy firma.
„Ověřili jsme si, že vykonané obnovení hesel zajistilo bezpečnost všech potenciálně napadnutelných účtů,“ řekl Patrick Heim, bezpečnostní šéf v Dropboxu. „Tento reset jsme uskutečnili jakožto preventivní opatření, aby stará hesla z doby před rokem 2012 nemohla být zneužita k přístupu na účty našich uživatelů.“
Heim doporučil zákazníkům změnit hesla i u jiných služeb, pokud si myslí, že u nich využili stejné heslo.
Ač se čtyři roky starý únik může zdát na první pohled dávno zapomenutý, je mnoho uživatelů, kteří si své heslo za celou nezměnili, a nelze jej tedy ignorovat.
PŘEDPLATNÉ
ČLÁNKY DO MAILU