FYI.

This story is over 5 years old.

Tecnologia

Degli hacker hanno rubato oltre 60 milioni di password di Dropbox

Le password erano state rubate in una breccia annunciata in passato, ma solo ora è possibile comprendere le reali proporzioni dell'hack.
Immagine: Shutterstock

Degli hacker hanno rubato i dati di oltre 60 milioni di account della piattaforma di cloud storage Dropbox. Benché gli account siano stati rubati durante una breccia precedentemente dichiarata, e benché Dropbox affermi di aver già forzato un reset delle password degli utenti, ancora non si sapeva quanti fossero gli utenti colpiti da questo hack, e solamente ora si riescono a capire le reali proporzioni del fenomeno.

Pubblicità

Motherboard ha ottenuto una serie di file contenenti indirizzi email e password hashed degli utenti Dropbox attraverso alcune fonti del mercato per il commercio di database. In tutto, i quattro file si sommavano per un totale di 5GB, e contenevano i dettagli di 68.680.741 account. I dati sono reali, secondo un funzionario Dropbox che non è stato autorizzato a parlare a rilasciare dichiarazioni on the record.

All'inizio di questa settimana, Dropbox ha annunciato che avrebbe forzato un reset delle password per alcuni utenti dopo aver scoperto un pacchetto di dati di account risalenti a una breccia databile al 2012. L'azienda non ha reso pubblico l'esatto numero di reset richiesti, e ha affermato di aver effettuato questa operazione in maniera proattiva.

"I nostri team di sicurezza sono sempre allerta per individuare nuove minacce per i nostri utenti. Proprio grazie a questo lavoro costante, siamo venuti a conoscenza di un vecchio set di credenziali di utenti Dropbox (indirizzi email e password hashed and salted) che crediamo siano state ottenute nel 2012. La nostra analisi suggerisce che le credenziali facciano riferimento a un incidente che avevamo reso pubblico in quel periodo," ha scritto l'azienda.

Questi 60 milioni di account sono legati allo stesso incidenti di data breaching Motherboard ha ottenuto l'intero set di credenziali grazie al servizio di notificazione brecce Leakbase, e ha scoperto nel dataset le credenziali di molti utenti che si erano realmente iscritti a Dropbox nel 2012 o prima.

Pubblicità

"Abbiamo confermato che il password reset proattivo che abbiamo completato la scorsa settimana ha toccato tutti gli utenti potenziali colpiti da questa breccia," ha spiegato Patrick Heim, Head of Trust and Security di Dropbox. "Abbiamo avviato questo reset come misura precauzionale, così che le vecchio password risalenti a metà 2012 non potessero essere usate per accedere indebitamente agli account Dropbox. Incoraggiamo gli utenti a cambiare la password sugli altri servizi su cui credono di aver utilizzato la stessa."

Quasi 32 milioni di queste password sono messe in sicurezza grazie alle potenti funzioni di hashing bcrypt, ciò significa che è difficile che gli hacker possano ottenere molte delle vere password degli utenti, scoprendole del loro camuffamento criptato. Il resto delle password sono protette attraverso SHA-1, un algoritmo che, a dirla tutta, sta invecchiando. L'hashing delle password sembra aver sfruttato anche un salt: ovvero, una stringa casuale aggiunta al processo di hashing delle password per rinforzarlo.

Dropbox ha cambiato i propri metodi di hashing diverse volte dal 2012, al fine di proteggere le credenziali degli utenti.

Il dump relativo a Dropbox non sembra essere apparso su nessuno dei più grandi marketplace di database del dark web: il valore di questi database di solito diminuisce quando le password sono state adeguatamente messe in sicurezza. Un hacker ha spiegato a Motherboard che lui (o lei) era già in possesso di quello password.

Questo è solamente l'ultima cosiddetta "mega-breccia" a essere stata rivelata. Quest'estate, centinaia di milioni di dati provenienti da siti come LinkedIn, MySpace, Tumblr e VK.com sono stati venduti e scambiati da e tra hacker.