01/09/2016

Skradziono 68 milionów haseł do serwisu Dropbox

Informacje Zagrożenia

Wcześniej w tym tygodniu mój kolega Chris z serwisu Threatpost napisał artykuł na temat wymuszania przez serwis Dropbox resetowania hasła, co zostało wdrożone z myślą użytkownikach, którzy ani razu nie zmienili swoich haseł od roku 2012. W tym czasie Dropbox mówił o swoim działaniu jak o zwykłym środku zapobiegawczym.

klp_dropbox

W 2012 roku Dropbox padł ofiarą włamania, w którego wyniku użytkownicy serwisu otrzymywali spam. Cztery lata później na światło dzienne wychodzą inne szczegóły tamtego wycieku, ponieważ w internecie pojawiły się dane zawierające dane logowania użytkowników Dropboxa. Magazyn Motherboard stwierdził, że bazy danych, które pojawiły się na czarnym rynku, były prawdziwe i należały do ponad 68 milionów kont w serwisie Dropbox.

W swoim poście Motherboard napisał, że Dropbox nie zauważył, że ktoś uzyskał dostęp do kont. Spośród 68 miliona kont około 32 miliony są zabezpieczone przy użyciu bcrypt; pozostałe są zahaszowane algorytmem SHA-1.

Co to oznacza?

Według raportu przygotowanego przez Motherboard skradzione informacje nie są dostępne na głównych czarnych rynkach, prawdopodobnie dlatego, że gdy hasła są odpowiednio zabezpieczone, dla cyberprzestępców ich wartość spada. Biorąc pod uwagę fakt, że pewnie nie jest to jeszcze koniec tej historii, sugeruję obserwować serwis Threatpost — jeśli sytuacja ulegnie zmianie, z pewnością będzie tam można o tym przeczytać.

dropbox-featured

Co należy zrobić?

Zasadniczo wyciek ten można dopisać do wciąż rosnącej listy wycieków danych z dużych stron internetowych. Znajdują się na niej między innymi LinkedInMySpace, Tumblr, OKCupid i Spotify (x2). Przestępcy cenią sobie dane uwierzytelniające do kont, a my wiemy, że hakerzy wrócą, dlatego najlepiej jest, abyśmy jako obywatele cyfrowego świata mądrzej go zabezpieczali. Podobnie jak w przypadku innych większych wycieków, przypominamy o pięciu zasadach bezpieczeństwa, które warto wykorzystać, będąc online:

  1. Używaj silnych haseł i regularnie je zmieniaj.Wszyscy się zgodzimy, że posiadanie takiego samego hasła przez cztery lata nie jest dobrym pomysłem. Hasła powinny być nie tylko łatwe do zapamiętania, ale także silne.

Dobrą praktyką jest również regularne zmienianie swoich haseł na ważnych stronach. Mam tu na myśli bankowość internetową, Facebooka, LinkedIn, a także główny adres e-mail. Jeśli tworzenie, zmienianie i pamiętanie wszystkich haseł jest dla Ciebie udręką, wypróbuj nasze narzędzie do zarządzania hasłami — Kaspersky Password Manager.

  1. Usuń stare konta.Gdy pisaliśmy o serwisie Myspace w maju, wiele osób pytało zdziwionych: „Kto jeszcze tego używa?”. Cóż, nie jest tych osób wiele, ale faktycznie istnieją tam nieużywane konta. Ludzie zakładali darmowe konta w roku 2000 i zwyczajnie o nich zapomnieli, gdy na scenę wkroczył Twitter i Facebook, wypierając skutecznie tamtą sieć społecznościową.

Dobrym zwyczajem jest także usuwanie wszystkich kont, których przestajemy używać. Powód jest prosty – jeśli nie używasz konta i regularnie nie zmieniasz do niego hasła, narażasz się na ryzyko, zwłaszcza jeśli masz tendencję do używania jakiegoś hasła w wielu serwisach.

  1. Nie stosuj recyklingu haseł.Jest to na tyle ważne, że postanowiłem poświęcić temu zagadnieniu osobny akapit. Nie używaj tego samego hasła w wielu serwisach. Wiem, że to znacznie upraszcza sprawę, ale wyobraź sobie, co się stanie, gdy hasło do społeczności My Little Pony zostanie Ci skradzione, a będzie też kluczem do Twojej bankowości internetowej.
  2. Włącz dwuetapowe uwierzytelnianie.Większość serwisów internetowych zwiększa bezpieczeństwo użytkowników, umożliwiając korzystanie z weryfikacji dwuetapowej. Weryfikacja przy użyciu aplikacji lub SMS-ów poświadcza, że osoba, która próbuje uzyskać dostęp do konta, ma do tego prawo. (Uwaga: Dropbox oferuje tę opcję.)
  3. Uważaj na integrację z innymi serwisami.Wiele serwisów online, np. Facebook czy Dropbox, umożliwia logowanie przy użyciu innych stron, dzięki czemu otrzymuje się dodatkowe funkcje (udostępnianie plików czy granie ze znajomymi). Takie łączenie często znacznie ułatwia życie (i sprawia, że nie trzeba pamiętać kolejnego hasła). Jednak z punktu widzenia bezpieczeństwa to ułatwienie w użytkowaniu zwiększa szansę potencjalnych słabych punktów.

Zanim połączysz usługi, zastanów się nad tym krokiem dwa razy. Czy konieczne jest używanie tego samego loginu, czy możesz utworzyć kolejne konto? Na to pytanie każdy musi sobie odpowiedzieć sam, ale temat ten jest ważny, dlatego warto poświęcić mu nieco czasu.

Na koniec chciałbym dodać, że wyciek danych z serwisu Dropbox to kolejny przypadek udowadniający, że przestępcy wciąż polują na cyfrowe tożsamości. Dlatego gorąco zalecamy skorzystanie z powyższych zasad w ramach regularnej higieny cyfrowej. Używamy zabezpieczeń w naszym życiu rzeczywistym, dlaczego mielibyśmy nie chronić jego cyfrowej postaci?