Reset haseł w Dropboksie nie bez powodu: skradziono dane 68 mln kont
Przed kilkoma dniami informowaliśmy o konieczności zmiany haseł użytkowników Dropboksa, którzy nie robili tego do połowy roku 2012. Wówczas administracja nie pokusiła się o opublikowanie jakichkolwiek szczegółów, można było jednak zakładać, że chodziło o wyciek sprzed czterech lat. Dziś wiemy na ten temat więcej i nie są to dobre wieści.
Wcześniej Dropbox poinformował, że nie odnotowano żadnego nieautoryzowanego dostępu do kont, dzięki wykradzionym przez czterema laty danym. Nieznana była skala wycieku, choć biorąc pod uwagę, że Dropbox prewencyjnie wymusił reset haseł, nietrudno o wniosek, że sytuacja była poważna. O konkretach pisze Motherboard: mowa o danych niemal 70 mln kont.
Zgodność metadanych plików, na które trafiło Motherboard z datą wycieku potwierdził jeden z pracowników Dropboksa, który oczywiście chciał pozostać anonimowy. Mowa zatem o pięciu paczkach o łącznej wielkości około 5 GB. Znalazły się tam adresy mailowe oraz chronione funkcją skrótu (Bcrypt i SHA-1) hasła 68,6 mln użytkowników. Jednocześnie administracja Dropboksa informuje, że proces resetu haseł przebiegł pomyślnie w przypadku wszystkich użytkowników, których dane zostały skradzione.
Uspokajające zapewnienia Dropboksa tracą jednak na wiarygodności, jeśli zestawi się je z komunikatem opublikowanym w lipcu 2012 roku, który stanowił odpowiedź na ówczesne podejrzenia ataku. Administracja utrzymywała wówczas, że dostęp do kont części użytkowników został uzyskany w związku z kradzieżami z innych witryn. Użytkownicy musieli zatem czekać na rzetelną informację blisko 4 lata.
