После того как Dropbox вынудил провести сброс паролей для всех пользователей, которые не меняли свои учетные данные с середины 2012 года (из-за взлома, которому компания подверглась в том году), недавно появилась новая информация, раскрывающая масштабы утечки пользовательских данных.
Согласно коллекции файлов, полученной Motherboard, содержащей адреса электронной почты и хешированные пароли затронутых пользователей, всего во время взлома 2012 года было успешно скомпрометировано 68 680 741 аккаунт Dropbox. Когда на прошлой неделе Dropbox объявил о превентивной мере сброса паролей, компания не дала никаких намеков на то, сколько пользователей пострадало от взлома четырехлетней давности.
«Инцидент», как называет его Dropbox, представлял собой утечку данных летом 2012 года, когда некоторые пользователи начали сообщать о спаме, отправленном на адреса электронной почты, связанные с аккаунтом Dropbox. Из-за взлома паролей, связанного с другими веб-сайтами, хакерам удалось войти в «небольшое количество» аккаунтов Dropbox, включая аккаунт сотрудника, у которого был доступ к документу со списком множества адресов электронной почты пользователей.
Dropbox уверен, что его сообщение пользователям на прошлой неделе охватило «всех потенциально затронутых пользователей», и компания призывает пользователей по-прежнему сбрасывать пароли в других сервисах, где используются те же учетные данные, особенно пароли, ранее использовавшиеся для Dropbox.
«Мы подтвердили, что проактивный сброс паролей, который мы завершили на прошлой неделе, охватил всех потенциально затронутых пользователей, — заявил Патрик Хейм, руководитель отдела доверия и безопасности Dropbox. — Мы инициировали этот сброс в качестве меры предосторожности, чтобы старые пароли, использовавшиеся до середины 2012 года, не могли быть использованы для неправомерного доступа к аккаунтам Dropbox. Мы по-прежнему призываем пользователей сбрасывать пароли в других сервисах, если они подозревают, что могли повторно использовать свой пароль от Dropbox».
Как обнаружил Motherboard, почти 32 миллиона из затронутых аккаунтов были защищены сильной хеширующей функцией bcrypt, «что означает, что маловероятно, что хакеры смогут получить реальные пароли многих пользователей». Остальные пароли использовали несколько менее безопасный алгоритм хеширования SHA-1 и были дополнены случайной строкой символов для дальнейшего укрепления. С 2012 года Dropbox несколько раз менял процесс хеширования паролей и аккаунтов, чтобы обеспечить безопасность каждого пользователя.
Motherboard подтвердил, что ни один из четырех файлов, содержащих в общей сложности 5 ГБ собранных данных для входа пользователей, не находится в даркнете. Кроме того, учитывая агрессивные меры, принятые Dropbox на прошлой неделе, их ценность со временем будет продолжать «снижаться».