Több mint 68 millió Dropbox-felhasználó adatai szivárogtak ki. Maga az adatlopás még 2012-ben történt, de csak most derültek ki a részletek, miután az ellopott adatokat a hekkerek árulni kezdték a neten.
A feltört szolgáltatásokat figyelő és az érintetteknek értesítést küldő haveibeenpwned.com szerint pontosan 68 648 009 fiók adatai kerültek ki, amivel ez minden idők hatodik legnagyobb ilyen adatlopása. A lista első öt helyezettjéből egyébként négynél (MySpace, LinkedIn, Badoo, VKontakte) szintén idén nyáron bukkantak fel a lopott adatok, és mindegyiknél ugyanúgy több évvel ezelőtti támadásról van szó, mint most a Dropbox esetében is.
Az adatlopás tehát illeszkedik az utóbbi hónapok trendjébe: néhány évvel ezelőtt történt a támadás, akkoriban a meghekkelt cég jóval kisebb számú érintett felhasználóról tudott, és eleinte azt hitték, csak emailcímek szivárogtak ki, majd idén az online feketepiacon feltűntek az akkor ellopott adatok, és kiderült, hogy sokkal komolyabb a helyzet.
A különböző cégek meghekkelése közötti kapcsolatot az is mutatja, hogy a LinkedIn feltörésekor szerezték meg a hekkerek egy Dropbox-alkalmazott jelszavát, ezzel sikerült bejutniuk a rendszerbe és hozzáférniük egy belső dokumentumhoz. (Azóta a cégnél szigorúbban is veszik a saját alkalmazottaikat érintő biztonságot.)
A hekkerek emailcímeket és jelszavakat szereztek meg, utóbbiakat erősen titkosított (hashelt és sózott) formában, ami azt jelenti, hogy nehezebb visszafejteni őket, és a jelek szerint eddig még nem is sikerült. Ennek ellenére mindenkinek azt javasoljuk, hogy nézze meg a haveibeenpwned.com-on, az emailcíme megadásával, hogy érintett-e, és ha igen, minél előbb változtassa meg a jelszavát, ha 2012 óta nem tette meg. (Ugyanitt fel is iratkozhat, hogy ha a jövőben érintett lesz egy adatlopásban, automatikus emailértesítést kapjon róla.) A Dropbox egyébként támogatja a kétlépcsős azonosítást is, ide kattintva elérhető a saját útmutatójuk arról, hogy lehet bekapcsolni.
Egy kollégánknak tűnt fel, hogy az Instagram előzékenyen összevetette az ellopott emailcím-jelszó kombinációkat a saját felhasználóiéval, és automatikus értesítést küldött annak, aki ugyanazt a jelszót használja náluk, mint amelyik kiszivárgott, hogy a biztonság kedvéért inkább itt is változtassa meg:
(Címlap és borítókép illusztráció: szarvas / Index)