Sei uno dei 69 milioni di utenti di Dropbox hackerati?

Ormai hai probabilmente sentito la frase “un altro giorno, un altro hack” più volte che vorresti fare in una vita, ma è il momento di aggiungere un altro alla lista come è emerso che gli impressionanti 68 milioni di account Dropbox sono stati potenzialmente compromessi.

Potresti ricordare che nel 2012, c'era la speculazione sul fatto che Dropbox fosse stato violato. Al momento Dropbox ha negato che qualcosa di diverso da un “documento di progetto con indirizzi email dell'utente” è stato preso.

A partire da agosto 2016 è stato confermato 68 milioni di account utente su Dropboxquello che era stato creato prima della metà del 2012 è apparentemente trapelato online con le password associate.

Al momento della stesura non è ancora chiaro in che modo o perché le informazioni trapelate abbiano impiegato quattro anni per comparire, ma ora che è disponibile, Dropbox ha preso la precauzione di inviare via email gli account che ritengono essere interessati e richiedere la reimpostazione della password.

Cosa sappiamo

Nel 2012, Dropbox ha annunciato che alcuni dati dell'utente sono stati rubati a causa del riutilizzo di una password da parte di un dipendente su un sistema interno che avevano precedentemente utilizzato su LinkedIn - che a sua volta era soggetta a una violazione dei dati nel 2012 Che cosa è necessario conoscere Perdita degli account di LinkedIn Massima Cosa c'è da sapere sui grandi account di LinkedIn Perdita Un hacker sta vendendo 117 milioni di credenziali di LinkedIn hackerate sul Web Dark per circa $ 2.200 in Bitcoin. Kevin Shabazi, CEO e fondatore di LogMeOnce, ci aiuta a capire cosa è a rischio. Leggi di più .

Al momento Dropbox ha detto che l'hacker aveva solo accesso a un documento di progetto contenente gli indirizzi email dei clienti. Ciò ha portato a un grande volume di spam diretto agli utenti Dropbox e, di conseguenza, a Dropbox per indagare e aggiungere ulteriori funzionalità di sicurezza.

Sicuramente * non * una notifica di violazione da dropbox. Appena… . Errm ... buona igiene della password ... pic.twitter.com/IxoFpdCKIC

- Marc Rogers (@marcwrogers), 27 agosto 2016

Tutto è andato zitto sulla perdita di Dropbox fino a metà agosto 2016, quando Dropbox ha iniziato a inviare e-mail affermando che i clienti che non avevano cambiato le loro password dalla metà del 2012 sarebbero stati invitati al loro prossimo accesso. Tuttavia, non vi è stata menzione esplicita di un trucco o perdita e Dropbox non ha segnalato il numero di utenti a cui avevano inviato questa email.

Non molto tempo dopo l'invio di queste e-mail, a Motherboard sono stati forniti circa 5 GB di dati che sembravano contenere gli indirizzi e-mail e le password crittografate di quasi 69 milioni di utenti Dropbox. Nel 2012, quando ha avuto luogo l'hack, Dropbox aveva appena raggiunto 100 milioni di utenti, quindi questa perdita rappresenta più di due terzi della loro base di utenti al momento.

Troy Hunt, fondatore del sito web Sono stato pacciato (HIBP), ha confermato la legittimità dell'hack trovando le credenziali di entrambi e di sua moglie nei dati. Ha poi proceduto a notificare i 114.136 abbonati HIBP che erano stati colpiti dalla perdita.

Dropbox ha rilasciato una dichiarazione che conferma che i dati contenuti nella perdita derivano dalla violazione del 2012 e che la password viene reimpostata “proteggere [ed] tutti gli utenti interessati ... Il ripristino riguarda solo gli utenti che si sono iscritti a Dropbox prima della metà del 2012 e non hanno cambiato la loro password dal.” Hanno anche commentato che le azioni che hanno preso “protetto tutti gli account interessati e [i loro] servizi di intelligence hanno dimostrato che questo era nell'intervallo 60+ milioni.”

Dopo aver contattato Dropbox per verificare l'ambito della violazione, ne siamo stati informati “[essi] non hanno prove di alcun accesso improprio a tali account” che è un po 'di rassicurazione per gli utenti interessati.

The Hack - Quanto è cattivo?

Qualsiasi violazione dei dati è una cattiva notizia e potenzialmente rilasciare indirizzi e-mail e password degli utenti su Internet è terribile a sé stante.

Tuttavia, un barlume di speranza nel trucco di Dropbox deriva dalla loro crittografia delle password. Nonostante la loro apparente scarsa sicurezza della password interna al momento dell'hack, Dropbox aveva effettivamente iniziato a prendere provvedimenti per migliorare la sicurezza della password crittografando tutti i dati con bcrypt, uno degli algoritmi di hashing più sicuri.

Tuttavia, si noti che solo la (circa) metà delle password è stata spostata su bcrypt al momento dell'hack, con gli altri 34 milioni crittografati utilizzando SHA-1, un metodo di crittografia meno sicuro. Neanche per queste password è tutto, dato che Dropbox ha salato le password SHA-1, aggiungendo una stringa di testo casuale per rendere le password più difficili da decifrare.

Questa protezione può impedire a qualsiasi tipo malvagio di decifrare le password, ma questo non dovrebbe essere preso per certo, e dovresti assolutamente prendere delle misure per proteggersi dall'hack e per fare un controllo sulla tua sicurezza Proteggiti Con un controllo annuale sulla sicurezza e sulla privacy proteggiti con un controllo annuale sulla sicurezza e sulla privacy Siamo quasi due mesi nel nuovo anno, ma c'è ancora tempo per una soluzione positiva. Dimentica di bere meno caffeina - stiamo parlando di adottare misure per salvaguardare la sicurezza e la privacy online. Leggi di più per mantenere la tua sicurezza online in futuro.

Cambia la tua password Dropbox

Sebbene Dropbox abbia già eseguito la reimpostazione della password per gli account interessati, reimpostare la password è un esercizio utile, soprattutto se non hai cambiato le password in un istante.

Sicurezza dell'account Dropbox

Ci sono alcune impostazioni di sicurezza in Dropbox che possono aiutarti a proteggere il tuo account. L'autenticazione a due fattori (2FA) può essere abilitata nelle impostazioni dell'account. Una volta inserito il tuo numero di telefono, Dropbox ti invierà quindi un codice univoco e limitato nel tempo tramite SMS che ti verrà richiesto di inserire quando tenti di accedere.

Puoi anche vedere quali dispositivi sono stati autorizzati ad accedere al tuo account, tramite l'app Dropbox mobile o desktop. Le sessioni mostreranno quali browser sono registrati nel tuo account Dropbox.

Se non si riconosce alcuna delle sessioni o dei dispositivi, è possibile fare clic su X sul lato destro per eliminarli e rimuovere l'accesso dal tuo account. Se vuoi essere accurato, anche se non noti nulla di sospetto, puoi rimuovere tutte le sessioni e i dispositivi e accedere nuovamente alle app sui dispositivi che usi.

Abilita 2FA ovunque

La maggior parte dei siti principali supporta l'autenticazione a due fattori ed è uno dei modi migliori per proteggersi Bloccate questi servizi ora con autenticazione a due fattori Bloccate questi servizi ora con autenticazione a due fattori L'autenticazione a due fattori è il modo intelligente per proteggere i tuoi account online. Diamo un'occhiata ad alcuni dei servizi che puoi bloccare con una maggiore sicurezza. Leggi di più in caso di un hack. Senza l'accesso a te o al tuo telefono, l'hacker non sarà in grado di accedere al tuo account.

Se non sei sicuro che un sito web che utilizzi supporti l'autenticazione a due fattori, puoi controllare utilizzando Two Factor Auth, che gestisce un database di tutti i siti supportati.

Cambia tutte le password riutilizzate

Uno dei motivi principali per cui le perdite di password sono una brutta notizia è che molte persone riciclano spesso le password tra i siti.

Dropbox riconosce anche questo problema, affermando “mentre gli account Dropbox sono protetti, gli utenti interessati che potrebbero aver riutilizzato la propria password su altri siti dovrebbero adottare misure per proteggersi su quei siti.”

Dopo aver attivato 2FA, la migliore azione preventiva che puoi intraprendere è assicurarti di utilizzare una password unica e sicura su ogni sito. Ciò include la verifica e il riutilizzo della tua password Dropbox su altri account.

Utilizzare un gestore di password

Uno dei motivi principali per cui riutilizziamo le password è perché spesso può essere troppo travolgente per ricordarle tutte. Fortunatamente, i gestori di password sono venuti sulla scena È necessario iniziare a utilizzare un gestore di password in questo momento È necessario iniziare a utilizzare un gestore di password in questo momento A questo punto, tutti dovrebbero utilizzare un gestore di password. In effetti, non usare un gestore di password ti mette a maggior rischio di essere hackerato! Leggi altro per aiutarti a gestire la tua lunga lista di password.

Sebbene ciascun gestore di password differisca leggermente, tutti memorizzeranno le tue password, con alcune funzionalità aggiuntive come la generazione sicura di password Crea password complesse con queste 4 fantastiche applicazioni Android Crea password complesse con queste 4 fantastiche applicazioni Android Troverai password memorabili e potenti difficile - quindi lascia che sia un'app che fa per te! Ulteriori informazioni e la possibilità di cambiare automaticamente le password Come cambiare automaticamente le password con le nuove funzionalità LastPass e Dashlane Come cambiare automaticamente le password con le nuove funzionalità LastPass e Dashlane Ogni pochi mesi sentiamo parlare di una nuova vulnerabilità della sicurezza che richiede di cambiare la password . È faticoso, ma ora le app di gestione delle password aggiungono strumenti per automatizzare questa attività, facendoti risparmiare tempo. Leggi di più .

Lastpass Security Challenge

LastPass è uno dei principali gestori di password e ha uno strumento di sicurezza Sfida le tue password per sempre con la sicurezza di Lastpass Sfida le tue password per sempre con la sfida di sicurezza di Lastpass Passiamo così tanto tempo online, con così tanti account, che le password possono ricordare essere davvero duro Preoccupato per i rischi? Scopri come utilizzare la Sfida di sicurezza di LastPass per migliorare l'igiene della sicurezza. Leggi di più . Se importi i tuoi dati in LastPass, analizzerà tutte le tue password e le classificherà in base alle loro forze e ti avviserà se l'account è stato coinvolto in una perdita o se hai utilizzato la stessa password su altri siti. È quindi possibile modificare qualsiasi password debole o interessata dalla pagina Scorecard.

HaveIBeenPwnd

Abbiamo detto che Troy Hunt, fondatore di Have I Been Pwnd, è stato uno dei primi a confermare la fuga di Dropbox verificando i dati di sua e di sua moglie nei dati. Ha quindi inviato e-mail a tutti gli abbonati interessati di HIBP.

Non costa nulla iscriversi e tutto ciò che devi fare è inserire il tuo indirizzo e-mail e se Hunt riceve i dati che il tuo account è stato incluso in una perdita, il servizio HIBP ti invierà un'e-mail che ti avviserà. Non c'è nessun aspetto negativo di questo servizio, ed è uno dei modi migliori per rimanere aggiornato su eventuali nuove perdite.

Dropbox non è il primo ... e non sarà l'ultimo

Hacks, violazioni dei dati e perdite di password sono diventati parte del corso della vita digitale nel 2016. Ci sono stati hack di alto profilo di siti come LinkedIn e l'infame Ashley Madison Ashley Madison Leak No Big Deal? Pensa ancora Ashley Madison Leak No Big Deal? Pensa di nuovo Discreet sito di appuntamenti online Ashley Madison (destinato principalmente ai coniugi truffatori) è stato violato. Tuttavia questo è un problema molto più serio di quello che è stato descritto dalla stampa, con notevoli implicazioni per la sicurezza degli utenti. Leggi di più insieme a molti altri.

Il miglior consiglio è di essere sicuri di adottare misure proattive Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Proteggersi con un controllo annuale sulla sicurezza e sulla privacy Siamo quasi due mesi nel nuovo anno, ma c'è ancora tempo per una soluzione positiva. Dimentica di bere meno caffeina - stiamo parlando di adottare misure per salvaguardare la sicurezza e la privacy online. Leggi di più per proteggere i tuoi account e l'identità digitale, in modo che quando accade l'inevitabile e un altro sito venga violato e le password vengano esposte, hai la migliore protezione disponibile.

Immagine di credito: Raxpixel.com tramite Shutterstock, welcomia via Shutterstock.com

Scopri di più su: Dropbox, Gestione password, Violazione della sicurezza, Autenticazione a due fattori.