Dropbox nigdy się do tego nie przyznał. Dane użytkowników zagrożone od 2012 roku

Robert Kędzierski
Jeśli używacie Dropboksa to musicie przygotować się na konieczność zmiany hasła. I to na wszystkich urządzeniach. 68 milionów użytkowników ma więcej powodów do zmartwień, niż można by przypuszczać.

Dropbox rozsyła do swoich użytkowników informacje o potrzebie zmiany hasła. Dotyczy to wyłącznie osób, które nie zmieniały go od 2012 roku. W wiadomości użytkownik dowiaduje się jedynie, że zmiana hasła jest obligatoryjna i trzeba ją przeprowadzić na wszystkich urządzeniach.

Tajemnicze wydarzenia z 2012 roku

Jakie są powody decyzji Dropboksa i dlaczego w komunikacie jest mowa o roku 2012? W mailu znajduje się odnośnik do strony, który to poniekąd precyzuje. Dropbox w końcu przyznaje, że część danych użytkowników mogła zostać wykradziona w ataku, który miał miejsce cztery lata temu.

Dowody są jednoznaczne

Właściciel jednego z najbardziej znanych serwisów do przechowywania plików online nigdy tak naprawdę nie "rozliczył się" z tego ataku. Nie powiedział wprost "tak, nasze serwery zostały zaatakowane, nazwy i hasła użytkowników przejęte". A co najważniejsze nie powiedział ile kont zostało skompromitowanych. Dowody są w tej kwestii jednoznaczne.

Znany badacz wycieków danych Troy Hunt otrzymał paczkę zawierającą dane ponad 68 milionów kont uzytkowników Dropboxa zawierającą oprócz adresów email także hasze haseł. Jest to bardzo zła informacja – choć na szczęście jest także nutka nadziei dla osób, które miały silne hasła. Otóż w bazie znajdują się dwa rodzaje haszy – jeden z nich to SHA1 (ujawniony bez soli, choć nie mamy pewności, czy sól nie trafiła w ręce włamywaczy) a drugi to bardzo silny bcrypt, znacząco utrudniający odgadywanie zahaszowanych nim haseł. Aby potwierdzić prawdziwość wycieku Troy znalazł w nim i złamał hasło swojej żony.

- pisze portal Zaufana Trzecia Strona specjalizujący się w cyberbezpieczeństwie. 

Eksperci ostrzegali

Serwis Niebezpiecznik przypomina, już w 2012 roku Dropbox rozsyłał dziwne e-maile z informacją o zresetowaniu haseł użytkowników. Wtedy firma początkowo nie chciała powiedzieć wprost, że doszło do włamania. I to dziwnych okolicznościach. Zrobiła to dopiero po pewnym czasie i to na swoim blogu. 

Dropbox przyznał [...], że jednak odnalazł ślady nieautoryzowanego dostępu do kont swoich użytkowników [...] w tym [...] na konto jednego ze swoich pracowników. [...] Tak się złożyło, że ten pracownik pracował nad projektem, który zawierał w sobie listę e-mail użytkowników.

- pisze Niebezpiecznik.

Dropbox nie mógł dłużej ukrywać szczegółów wycieku - najwyraźniej był większy, niż do tej pory sądzono, być może dane wykradzione z Dropboksa pojawiły się na czarnym rynku.

Czytaj też: Gigantyczny wyciek danych z bazy PESEL. Dwa miliony osób ma się o co martwić?

Użytkownicy Dropboksa, których konta zostały przejęte, mają powody do zmartwienia, jeśli używają wszędzie tych samych haseł. Nieco chaotyczna polityka informacyjna, zwlekanie z precyzyjnym wyjaśnieniem co zostało wykradzione i kiedy, Dropbox mógł narazić niektórych swoich klientów na atak cyberprzestępców. 

Jak zmienić hasło?

Zmiana zostanie wymuszona przy próbie zalogowania się do usług. Bez nowego hasła nie będzie można z niej korzystać. Osoby, które chcą zmienić hasło mogą też skorzystać z tego poradnika.