Gegevens 69 miljoen Dropboxgebruikers in 2012 gestolen
Bij de hack van cloudopslagdienst Dropbox in 2012 zijn de gegevens van zo'n 69 miljoen gebruikers gestolen, zo blijkt uit bestanden die op internet zijn verschenen. Het gaat om wachtwoordhashes en e-mailadressen. Dropbox bevestigde het beveiligingsincident al in 2012.
Destijds werd echter niet bekendgemaakt om hoeveel accounts het ging. Via de website Leakbase ontving Vice Magazine een bestand met de gegevens van bijna 69 miljoen accounts. Zo'n 32 miljoen daarvan zijn met het sterke algoritme bcrypt gehasht. De overige wachtwoordhashes maken gebruik van het sha-1-algoritme. Alle wachtwoorden werden eerst gesalt voordat ze werden gehasht. In dit geval wordt er een reeks karakters aan het wachtwoord van de gebruiker toegevoegd, wat het lastiger moet maken om de hash te kraken.
Vorige week besloot Dropbox dat gebruikers die voor halverwege 2012 hun Dropbox-account hadden aangemaakt hun wachtwoord moesten resetten. Daarbij werd ook naar de hack van 2012 verwezen. Dropbox kon in 2012 worden gehackt doordat een werknemer het wachtwoord van zijn werkaccount op een andere website gebruikte die werd gehackt.
Update
"Dit is geen nieuw beveiligingsincident, en er zijn geen aanwijzingen dat accounts van Dropboxgebruikers met deze gegevens zijn benaderd", zegt Patrick Heim van Dropbox in een reactie tegenover Security.NL. Heim meldt dat de wachtwoordreset die vorige week werd uitgevoerd alle getroffen gebruikers omvat. Hierdoor lopen Dropbox-accounts geen risico meer. Wel adviseert Heim aan gebruikers die hetzelfde wachtwoord ergens anders gebruikten daar een nieuw en uniek wachtwoord in te stellen. Inmiddels heeft ook beveiligingsonderzoeker Troy Hunt de omvang van de datadiefstal bevestigd.
Ik heb ze aangeraden meteen hun wachtwoorden te veranderen (en niet te recyclen).
Als ik de berichten mag geloven was het een werknemer van Dropbox die met een gerecycled wachtwoord inlogde op een andere site, en juist die webserver was gehackt. Hierdoor kwam de aanvallers binnen op zijn account bij Dropbox. Of deze aanvallers het manueel deden of via een botnet weet ik niet, maar als dit met een botnet gebeurde dan gaat het inloggen met gestolen gerecyclede wachtwoorden geheel automatisch.
Regel is dus: bij zeer belangrijke sites (denk maar eens aan DigiD) moet het wachtwoord niet alleen sterk zijn, maar ook uniek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.