Hacknutý Dropbox: Údaje k více než 68 milionům účtů jsou na prodej

19. 9. 2016 v sekci Článek

Hackeři ukradli údaje o uživatelích z více než 68 milionů účtů cloudové platformy Dropbox. Přestože ke krádeži došlo již při dříve přiznaném útoku a Dropbox tvrdí, že hesla byla resetována, dlouho nebylo jasné, kolika uživatelů se tato událost dotkla. Nyní vyšlo najevo, že útočníci zrovna netroškařili.

Magazín Motherboard získal soubory obsahující e-mailové adresy a hesla uživatelů Dropboxu, které byly na „správných místech“ k dispozici k odkoupení. Soubory o velikosti kolem 5 GB obsahují údaje o 68 680 741 uživatelských účtech. Podle relevantních zdrojů z Dropboxu jsou tato data autentická.

Nedávno Dropbox oznámil, že hodlá resetovat hesla velké části uživatelské základny. Byla to reakce na nové skutečnosti, týkající se účtů spojených s útokem v roce 2012. Společnost nesdělila další detaily ani počty resetovaných hesel s tím, že jde o preventivní opatření.

Naše bezpečnostní týmy neustále hlídají uživatele před novými útoky. Díky tomu jsme objevili starší dropboxové uživatelské údaje (e-mailové adresy a šifrovaná hesla), o kterých jsme přesvědčeni, že byly získány během útoku v roce 2012,“ informovala společnost v tiskovém prohlášení.

Téměř 32 milionů hesel z uniklé databáze je zabezpečeno šifrovací funkcí bcrypt, což znamená, že je velmi nepravděpodobné, že se hackerům podaří je prolomit. Zbytek hesel je zřejmě šifrován metodou SHA-1, což je starší metoda. Při šifrování byl také pravděpodobně použit tzv. salt, tedy přidávání náhodných znaků a čísel k heslu za účelem vyššího zabezpečení. Tady si všimněte velkého rozdílu oproti kauze Last.fm, o které jsem vás informovala nedávno, kdy unikla databáze obsahující přes 43 miliónů e-mailů a hesel, jež byla zašifrovaná pomocí nevyhovující a snadno prolomitelné metody MD5.

Dropbox od roku 2012 z důvodu zabezpečení několikrát změnil šifrovací metodu hesel.

Údaje z Dropboxu nejsou k dispozici na hackerských burzách, kde se tyto „úlovky“ obvykle objevují. Důvod je jednoduchý: cena dat strmě klesá v případě, že jsou hesla adekvátně zabezpečena.

Tento případ je ale jen dalším z mnoha „mega-prolomení“, která byla zveřejněna. Během letošního léta byly mezi hackery prodány stamiliony uživatelských záznamů z webů jako je LinkedIn, MySpace, Tumblr a VK.com – jde přitom o data z roky starých útoků a průniků.

Přece jen je rok 2016, je na čase dát „heslu“ a „123456“ navždy sbohem. Nevystavujte se riziku, používejte unikátní hesla, zkuste třeba některý z osvědčených generátorů hesel a nespoléhejte na to, že bezpečnostní incidenty velkým firmám nehrozí.

Vaše SOCA

 






Tento web používá cookies. Více informací ROZUMÍM