Bij de hack van cloudopslagdienst Dropbox in 2012 zijn de gegevens van zo'n 69 miljoen gebruikers gestolen, zo blijkt uit bestanden die op internet zijn verschenen. Het gaat om wachtwoordhashes en e-mailadressen. Dropbox bevestigde het beveiligingsincident al in 2012.
Destijds werd echter niet bekendgemaakt om hoeveel accounts het ging. Via de website Leakbase ontving Vice Magazine een bestand met de gegevens van bijna 69 miljoen accounts. Zo'n 32 miljoen daarvan zijn met het sterke algoritme bcrypt gehasht. De overige wachtwoordhashes maken gebruik van het sha-1-algoritme. Alle wachtwoorden werden eerst gesalt voordat ze werden gehasht. In dit geval wordt er een reeks karakters aan het wachtwoord van de gebruiker toegevoegd, wat het lastiger moet maken om de hash te kraken.
Vorige week besloot Dropbox dat gebruikers die voor halverwege 2012 hun Dropbox-account hadden aangemaakt hun wachtwoord moesten resetten. Daarbij werd ook naar de hack van 2012 verwezen. Dropbox kon in 2012 worden gehackt doordat een werknemer het wachtwoord van zijn werkaccount op een andere website gebruikte die werd gehackt.
"Dit is geen nieuw beveiligingsincident, en er zijn geen aanwijzingen dat accounts van Dropboxgebruikers met deze gegevens zijn benaderd", zegt Patrick Heim van Dropbox in een reactie tegenover Security.NL. Heim meldt dat de wachtwoordreset die vorige week werd uitgevoerd alle getroffen gebruikers omvat. Hierdoor lopen Dropbox-accounts geen risico meer. Wel adviseert Heim aan gebruikers die hetzelfde wachtwoord ergens anders gebruikten daar een nieuw en uniek wachtwoord in te stellen. Inmiddels heeft ook beveiligingsonderzoeker Troy Hunt de omvang van de datadiefstal bevestigd.
Deze posting is gelocked. Reageren is niet meer mogelijk.