Содержание
К настоящему времени вы, вероятно, слышали фразу «другой день, еще один взлом» больше раз, чем вы хотели бы за всю жизнь, но пришло время добавить еще один в список, поскольку выяснилось, что ошеломляющие 68 миллионов учетных записей Dropbox потенциально скомпрометированы.
Возможно, вы помните, еще в 2012 году было предположение, что Dropbox был взломан. В то время Dropbox отрицал, что было взято что-либо, кроме «проектного документа с адресами электронной почты пользователя».
По состоянию на август 2016 года было подтверждено, что в течение 68 миллионов учетных записей на Dropbox которые были созданы до середины 2012 года, по-видимому, просочились в онлайн со своими связанными паролями.
На момент написания статьи до сих пор не ясно, как и почему утечка информации потребовалась четыре года, но теперь, когда она появилась, Dropbox предпринял предупредительный шаг, отправив по электронной почте учетные записи, которые, по их мнению, были затронуты, и запросил сброс пароля.
Что мы знаем
В 2012 году Dropbox объявил, что некоторые пользовательские данные были украдены в результате повторного использования сотрудником пароля во внутренней системе, которую они ранее использовали в LinkedIn — которая сама была подвержена утечке данных в 2012 году.
,
В то время Dropbox сказал, что хакер получил доступ только к документу проекта, содержащему адреса электронной почты клиентов. Это привело к большому количеству спама, направленного на пользователей Dropbox, и, как следствие, к Dropbox для расследования и добавления дополнительных функций безопасности.
Определенно * не * уведомление о нарушении от Dropbox. Просто…. Хм … хорошая гигиена паролей … .. pic.twitter.com/IxoFpdCKIC
— Марк Роджерс (@marcwrogers) 27 августа 2016 г.
Все утекло в утечке Dropbox до середины августа 2016 года, когда Dropbox начал рассылать электронные письма, в которых указывалось, что клиентам, которые не меняли свои пароли с середины 2012 года, будет предложено ввести их при следующем входе в систему. Тем не менее, не было явного упоминания о взломе или утечке, и Dropbox не сообщал о количестве пользователей, которым они отправили это письмо.
Вскоре после того, как эти электронные письма были разосланы, Материнской плате было предоставлено приблизительно 5 ГБ данных, которые, по-видимому, содержали адреса электронной почты и зашифрованные пароли почти 69 миллионов пользователей Dropbox. Еще в 2012 году, когда произошел взлом, Dropbox только что достиг 100 миллионов пользователей, поэтому эта утечка составляет более двух третей их базы пользователей на тот момент.
Трой Хант (Troy Hunt), основатель веб-сайта Have I Been Pwned (HIBP), подтвердил легитимность взлома, найдя в данных учетные данные как его, так и его жены. Затем он продолжил уведомлять 114 136 абонентов HIBP, которые пострадали от утечки.
Dropbox опубликовал заявление, подтверждающее, что данные, содержащиеся в утечке, были получены в результате взлома 2012 года, и что пароль сбрасывает «защитить [ed] всех затронутых пользователей… Сброс затрагивает только пользователей [ed], которые подписались на Dropbox до середины 2012 года». и с тех пор не меняли свой пароль ». Они также отметили, что предпринятые ими действия« защитили все затронутые учетные записи, и [их] интеллект показал, что это было в диапазоне более 60 миллионов ».
После того, как мы связались с Dropbox, чтобы проверить масштаб нарушения, мы были проинформированы о том, что «[у них нет никаких доказательств какого-либо неправомерного доступа к этим учетным записям», что является некоторой гарантией для затронутых пользователей.
Взломать — Насколько это плохо?
Любое нарушение данных является плохой новостью, и потенциальная публикация адресов электронной почты и паролей пользователей в Интернете сама по себе ужасна.
Однако, один проблеск надежды во взломе Dropbox исходит от их шифрования паролей. Несмотря на то, что во время взлома их внутренняя безопасность паролей была явно слабой, Dropbox фактически начал предпринимать шаги для повышения безопасности своих паролей, шифруя все данные с помощью bcrypt, одного из самых безопасных алгоритмов хеширования.
Однако обратите внимание, что только (приблизительно) половина паролей была перемещена в bcrypt во время взлома, а остальные 34 миллиона были зашифрованы с использованием SHA-1, менее безопасного метода шифрования. Не все потеряно и для этих паролей, так как Dropbox засолил пароли SHA-1, добавив случайную строку текста, чтобы сделать пароли труднее расшифровывать.
Эта защита может помешать любым злонамеренным типам иметь возможность дешифровать пароли, но это не должно быть принято наверняка, и вам определенно следует предпринять шаги, чтобы защитить себя от взлома и проверить вашу собственную безопасность
чтобы сохранить вашу безопасность онлайн в будущем.
Изменить пароль Dropbox
Хотя Dropbox уже выполнил сброс пароля для затронутых учетных записей, сброс пароля является полезным упражнением, особенно если вы не меняли пароли в течение некоторого времени.
Безопасность аккаунта Dropbox
В Dropbox есть несколько настроек безопасности, которые могут помочь вам защитить вашу учетную запись. Двухфакторная аутентификация (2FA) может быть включена в настройках вашей учетной записи. После того как вы введете свой номер телефона, Dropbox отправит вам ограниченный по времени уникальный код в виде SMS-сообщения, который вам необходимо будет ввести при попытке входа в систему.
Вы также можете увидеть, какие устройства были авторизованы для доступа к вашей учетной записи, с помощью мобильного или настольного приложения Dropbox. Сессии покажут, какие браузеры вошли в вашу учетную запись Dropbox.
Если вы не узнаете ни одного из сеансов или устройств, вы можете нажать Икс на правой стороне, чтобы удалить их и удалить доступ из вашей учетной записи. Если вы хотите быть внимательным, даже если вы не заметили ничего подозрительного, вы можете удалить все сеансы и устройства и просто войти в приложения на устройствах, которые вы используете.
Включить 2FA везде
Большинство крупных сайтов поддерживают двухфакторную аутентификацию, и это один из лучших способов защитить себя.
в случае взлома. Без доступа к вам или вашему телефону, хакер не сможет войти в вашу учетную запись.
Если вы не уверены, что используемый вами веб-сайт поддерживает двухфакторную аутентификацию, вы можете проверить это с помощью двухфакторной аутентификации, которая поддерживает базу данных всех поддерживаемых сайтов.
Изменить любые повторно используемые пароли
Одна из главных причин того, что утечки паролей являются такими плохими новостями, заключается в том, что многие люди часто перерабатывают пароли между сайтами.
Dropbox даже признает эту проблему, заявляя «Хотя учетные записи Dropbox защищены, пострадавшие пользователи, которые могли повторно использовать свой пароль на других сайтах, должны принять меры для защиты себя на этих сайтах».
После включения 2FA лучшее профилактическое действие, которое вы можете предпринять, это убедиться, что вы используете уникальный надежный пароль на каждом сайте. Это включает в себя прохождение и проверку того, что вы не использовали свой пароль Dropbox в других учетных записях.
Используйте менеджер паролей
Одна из основных причин, по которой мы повторно используем пароли, заключается в том, что часто бывает слишком сложно запомнить их все. К счастью, менеджеры паролей пришли на сцену
чтобы помочь вам управлять своим длинным списком паролей.
Хотя каждый менеджер паролей немного отличается, все они будут хранить ваши пароли, а некоторые предлагают дополнительные функции, такие как безопасная генерация паролей
и возможность автоматически менять пароли
,
Lastpass Security Challenge
LastPass является одним из ведущих менеджеров паролей и имеет инструмент Security Challenge
, Если вы импортируете ваши данные в LastPass, он проанализирует все ваши пароли, оценит их надежность и предупредит вас, если учетная запись была связана с утечкой, или вы использовали этот же пароль на других сайтах. Затем вы можете изменить любые слабые или уязвимые пароли на странице системы показателей.
HaveIBeenPwnd
Мы упомянули, что Трой Хант, основатель «И я был Пундом», был одним из первых, кто подтвердил утечку Dropbox, проверив данные его и его жены в данных. Затем он отправил электронные письма всем пострадавшим подписчикам HIBP.
Подписка абсолютно бесплатна, и все, что вам нужно сделать, это ввести свой адрес электронной почты, и если Hunt когда-либо получит данные о том, что ваша учетная запись была обнаружена в утечке, то служба HIBP отправит вам электронное письмо с предупреждением. У этой услуги нет недостатков, и это один из лучших способов избежать любых новых утечек.
Dropbox не первый … и не последний
Взломы, утечки данных и утечки паролей стали частью курса цифровой жизни в 2016 году. Были громкие взломы сайтов, таких как LinkedIn и печально известная Эшли Мэдисон
наряду с бесчисленным больше.
Лучший совет — убедитесь, что вы предпринимаете активные действия
защитить свои учетные записи и цифровую идентификацию, чтобы в случае неизбежного взлома другого сайта и раскрытия паролей у вас была лучшая доступная защита.
Кредит изображения: Raxpixel.com через Shutterstock, Welcomia через Shutterstock.com
