К настоящему времени вы, вероятно, слышали фразу «другой день, еще один взлом» больше раз, чем вы хотели бы за всю жизнь, но пришло время добавить еще один в список, поскольку выяснилось, что ошеломляющие 68 миллионов учетных записей Dropbox потенциально скомпрометированы.
Возможно, вы помните, еще в 2012 году было предположение, что Dropbox был взломан. В то время Dropbox отрицал, что было взято что-либо, кроме «проектного документа с адресами электронной почты пользователя».
По состоянию на август 2016 года было подтверждено, что более 68 миллионов учетных записей пользователей в Dropbox которые были созданы до середины 2012 года, по-видимому, просочились в онлайн со своими связанными паролями.
На момент написания статьи до сих пор не ясно, как и почему утечка информации потребовалась в течение четырех лет, но теперь, когда она появилась, Dropbox предпринял предупредительный шаг, отправив по электронной почте учетные записи, которые, по их мнению, были затронуты, и запросил сброс пароля.
Что мы знаем
В 2012 году Dropbox объявил, что некоторые пользовательские данные были украдены в результате повторного использования сотрудником пароля во внутренней системе, которую они ранее использовали в LinkedIn — которая сама по себе была подвержена утечке данных в 2012 году.
В то время Dropbox сказал, что хакер получил доступ только к документу проекта, содержащему адреса электронной почты клиентов. Это привело к большому количеству спама, направленного на пользователей Dropbox, и, как следствие, к Dropbox для расследования и добавления дополнительных функций безопасности .
Все утекло в утечке Dropbox до середины августа 2016 года, когда Dropbox начал рассылать электронные письма, в которых указывалось, что клиенты, которые не меняли свои пароли с середины 2012 года, будут приглашены при следующем входе в систему. Тем не менее, не было никаких явных упоминаний о взломе или утечке, и Dropbox не сообщал о количестве пользователей, которым они отправили это письмо.
Вскоре после того, как эти электронные письма были разосланы, Материнской плате было предоставлено приблизительно 5 ГБ данных, которые, по-видимому, содержали адреса электронной почты и зашифрованные пароли почти 69 миллионов пользователей Dropbox. Еще в 2012 году, когда произошел взлом, Dropbox только что достиг 100 миллионов пользователей, поэтому эта утечка составляет более двух третей их базы пользователей на тот момент.
Трой Хант, основатель веб-сайта Have I Been Pwned (HIBP), подтвердил легитимность взлома , обнаружив в своих данных учетные данные как его, так и его жены. Затем он продолжил уведомлять 114 136 абонентов HIBP, которые пострадали от утечки.
Dropbox опубликовал заявление, подтверждающее, что данные, содержащиеся в утечке, были получены в результате взлома 2012 года, и что пароль сбрасывает «защитить [ed] всех затронутых пользователей… Сброс затрагивает только пользователей [ed], которые подписались на Dropbox до середины 2012 года». и с тех пор не меняли свой пароль ». Они также отметили, что предпринятые ими действия« защитили все затронутые учетные записи, и [их] интеллект показал, что это было в диапазоне более 60 миллионов ».
После того, как мы связались с Dropbox, чтобы проверить масштаб нарушения, мы были проинформированы о том, что «[у них нет никаких доказательств какого-либо неправомерного доступа к этим учетным записям», что является некоторой гарантией для затронутых пользователей.
Взломать — Насколько это плохо?
Любое нарушение данных является плохой новостью, и потенциальная публикация адресов электронной почты и паролей пользователей в Интернете сама по себе ужасна.
Однако, один проблеск надежды во взломе Dropbox исходит от их шифрования паролей. Несмотря на кажущуюся слабую защиту внутренних паролей во время взлома, Dropbox фактически начал предпринимать шаги для повышения безопасности своих паролей путем шифрования всех данных с помощью bcrypt, одного из самых безопасных алгоритмов хеширования.
Однако обратите внимание, что только (приблизительно) половина паролей была перемещена в bcrypt во время взлома, а остальные 34 миллиона были зашифрованы с использованием SHA-1, менее безопасного метода шифрования. Также не все потеряно для этих паролей, так как Dropbox засолил пароли SHA-1, добавив случайную строку текста, чтобы сделать пароли труднее расшифровывать.
Эта защита может помешать любым злонамеренным типам иметь возможность дешифровать пароли, но это не должно быть принято наверняка, и вы должны обязательно предпринять шаги, чтобы защитить себя от взлома и проверить вашу собственную безопасность чтобы сохранить вашу безопасность онлайн в будущем.
Изменить пароль Dropbox
Хотя Dropbox уже выполнил сброс пароля для затронутых учетных записей, сброс пароля — это полезное упражнение, особенно если вы давно не меняли пароли.
Безопасность аккаунта Dropbox
В Dropbox есть несколько настроек безопасности, которые могут помочь вам защитить вашу учетную запись. Двухфакторная аутентификация (2FA) может быть включена в настройках вашей учетной записи. После того, как вы ввели свой номер телефона, Dropbox отправит вам ограниченный по времени уникальный код в виде SMS, который вам необходимо будет ввести при попытке входа в систему.
Вы также можете увидеть, какие устройства были авторизованы для доступа к вашей учетной записи, с помощью мобильного или настольного приложения Dropbox. Сессии покажут, какие браузеры вошли в вашу учетную запись Dropbox.
Если вы не узнаете ни одного из сеансов или устройств, вы можете щелкнуть значок « x» справа, чтобы удалить их и удалить доступ из своей учетной записи. Если вы хотите быть внимательным, даже если вы не заметили ничего подозрительного, вы можете удалить все сеансы и устройства и просто войти в приложения на устройствах, которые вы используете.
Включить 2FA везде
Большинство крупных сайтов поддерживают двухфакторную аутентификацию, и это один из лучших способов защитить себя. в случае взлома. Без доступа к вам или вашему телефону, хакер не сможет войти в вашу учетную запись.
Если вы не уверены, что используемый вами сайт поддерживает двухфакторную аутентификацию, вы можете проверить это с помощью двухфакторной аутентификации, которая поддерживает базу данных всех поддерживаемых сайтов.
Изменить любые повторно используемые пароли
Одна из главных причин того, что утечки паролей являются такими плохими новостями, заключается в том, что многие люди часто перерабатывают пароли между сайтами.
Dropbox даже признает эту проблему, заявляя, что «в то время как учетные записи Dropbox защищены, уязвимые пользователи, которые, возможно, повторно использовали свой пароль на других сайтах, должны предпринять шаги, чтобы защитить себя на этих сайтах».
После включения 2FA лучшее профилактическое действие, которое вы можете предпринять, это убедиться, что вы используете уникальный надежный пароль на каждом сайте. Это включает в себя прохождение и проверку того, что вы не использовали свой пароль Dropbox в других учетных записях.
Используйте менеджер паролей
Одна из основных причин повторного использования паролей заключается в том, что зачастую их слишком сложно запомнить. К счастью, менеджеры паролей пришли на сцену. чтобы помочь вам управлять своим длинным списком паролей.
Хотя каждый менеджер паролей немного отличается, все они будут хранить ваши пароли, причем некоторые предлагают дополнительные функции, такие как безопасная генерация паролей. надежные пароли надежные пароли и возможность автоматической смены паролей.
Lastpass Security Challenge
LastPass является одним из ведущих менеджеров паролей и имеет инструмент «Проблемы с безопасностью». Задача безопасности « Если вы импортируете свои данные в LastPass, он проанализирует все ваши пароли, оценит их надежность и предупредит вас, если учетная запись была связана с утечкой или вы использовали этот же пароль на других сайтах. Затем вы можете изменить любые слабые или уязвимые пароли на странице системы показателей.
HaveIBeenPwnd
Мы упомянули, что Трой Хант, основатель « Have I Been Pwnd», был одним из первых, кто подтвердил утечку Dropbox, проверив данные его и его жены в данных. Затем он отправил электронные письма всем пострадавшим подписчикам HIBP.
Подписка абсолютно бесплатна, и все, что вам нужно сделать, это ввести свой адрес электронной почты, и если Hunt когда-либо получит данные о том, что ваша учетная запись была обнаружена в утечке, то служба HIBP отправит вам электронное письмо с предупреждением. У этой услуги нет недостатков, и это один из лучших способов избежать любых новых утечек.
Dropbox не первый … и не последний
Взломы, утечка данных и утечка паролей стали частью курса цифровой жизни в 2016 году. Были ли громкие взломы сайтов, таких как LinkedIn и печально известная Эшли Мэдисон наряду с бесчисленным больше.
Лучший совет — убедиться, что вы предприняли упреждающие шаги чтобы защитить свои учетные записи и цифровую идентификацию, чтобы в случае неизбежного взлома другого сайта и раскрытия паролей у вас была лучшая доступная защита.
Кредит изображения: Raxpixel.com через Shutterstock , Welcomia через Shutterstock.com