image

Gegevens 69 miljoen Dropboxgebruikers in 2012 gestolen

woensdag 31 augustus 2016, 09:30 door Redactie, 3 reacties
Laatst bijgewerkt: 31-08-2016, 15:10

Bij de hack van cloudopslagdienst Dropbox in 2012 zijn de gegevens van zo'n 69 miljoen gebruikers gestolen, zo blijkt uit bestanden die op internet zijn verschenen. Het gaat om wachtwoordhashes en e-mailadressen. Dropbox bevestigde het beveiligingsincident al in 2012.

Destijds werd echter niet bekendgemaakt om hoeveel accounts het ging. Via de website Leakbase ontving Vice Magazine een bestand met de gegevens van bijna 69 miljoen accounts. Zo'n 32 miljoen daarvan zijn met het sterke algoritme bcrypt gehasht. De overige wachtwoordhashes maken gebruik van het sha-1-algoritme. Alle wachtwoorden werden eerst gesalt voordat ze werden gehasht. In dit geval wordt er een reeks karakters aan het wachtwoord van de gebruiker toegevoegd, wat het lastiger moet maken om de hash te kraken.

Vorige week besloot Dropbox dat gebruikers die voor halverwege 2012 hun Dropbox-account hadden aangemaakt hun wachtwoord moesten resetten. Daarbij werd ook naar de hack van 2012 verwezen. Dropbox kon in 2012 worden gehackt doordat een werknemer het wachtwoord van zijn werkaccount op een andere website gebruikte die werd gehackt.

Update

"Dit is geen nieuw beveiligingsincident, en er zijn geen aanwijzingen dat accounts van Dropboxgebruikers met deze gegevens zijn benaderd", zegt Patrick Heim van Dropbox in een reactie tegenover Security.NL. Heim meldt dat de wachtwoordreset die vorige week werd uitgevoerd alle getroffen gebruikers omvat. Hierdoor lopen Dropbox-accounts geen risico meer. Wel adviseert Heim aan gebruikers die hetzelfde wachtwoord ergens anders gebruikten daar een nieuw en uniek wachtwoord in te stellen. Inmiddels heeft ook beveiligingsonderzoeker Troy Hunt de omvang van de datadiefstal bevestigd.

Reacties (3)
31-08-2016, 15:44 door Anoniem
Een aantal familieleden gebruikten Dropbox, maar wisten niets van de hack.
Ik heb ze aangeraden meteen hun wachtwoorden te veranderen (en niet te recyclen).
01-09-2016, 07:47 door Anoniem
Het veranderen van het wachtwoord is inderdaad een goed idee, het enige nadeel is dat hackers het oude wachtwoord i.cm. email of gebruikersnaam kunnen testen op andere websites. Meestal betekend het na een hack dat de gebruiker zijn wachtwoord voor meerdere websites moet aanpassen. Mijn advies: donload geoon even KeePass.
01-09-2016, 09:10 door Anoniem
Door Anoniem: Het veranderen van het wachtwoord is inderdaad een goed idee, het enige nadeel is dat hackers het oude wachtwoord i.cm. email of gebruikersnaam kunnen testen op andere websites. Meestal betekend het na een hack dat de gebruiker zijn wachtwoord voor meerdere websites moet aanpassen. Mijn advies: donload geoon even KeePass.

Als ik de berichten mag geloven was het een werknemer van Dropbox die met een gerecycled wachtwoord inlogde op een andere site, en juist die webserver was gehackt. Hierdoor kwam de aanvallers binnen op zijn account bij Dropbox. Of deze aanvallers het manueel deden of via een botnet weet ik niet, maar als dit met een botnet gebeurde dan gaat het inloggen met gestolen gerecyclede wachtwoorden geheel automatisch.

Regel is dus: bij zeer belangrijke sites (denk maar eens aan DigiD) moet het wachtwoord niet alleen sterk zijn, maar ook uniek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.