Reklama

Do tej pory prawdopodobnie słyszałeś wyrażenie „inny dzień, kolejny hack” więcej razy, niż chciałbyś w życiu, ale jest to czas dodać kolejną do listy, gdy okazało się, że potencjalnie było oszałamiające 68 milionów kont Dropbox zagrożone.

Być może pamiętasz w 2012 roku, pojawiły się spekulacje, że Dropbox został zhakowany. W tym czasie Dropbox zaprzeczył, że zabrano coś innego niż „dokument projektu z adresami e-mail użytkownika”.

Według stanu na sierpień 2016 r. Potwierdzono to ponad 68 milionów kont użytkowników na Dropbox, które zostały utworzone przed połową 2012 r., najwyraźniej zostały ujawnione online wraz z powiązanymi z nimi hasłami.

Dropbox-Shutterstock

W chwili pisania tego tekstu wciąż nie jest jasne, w jaki sposób i dlaczego ujawnione informacje zajęły cztery lata, ale teraz ma, Dropbox podjął krok zapobiegawczy, wysyłając e-mailem na konta, które mogą być naruszone, i prosząc o podanie hasła Resetowanie.

Co wiemy

W 2012 r. Dropbox ogłosił, że niektóre dane użytkownika zostały skradzione w wyniku ponownego użycia hasła w systemie wewnętrznym, z którego wcześniej korzystali na LinkedIn - który sam był

instagram viewer
z zastrzeżeniem naruszenia danych w 2012 r Co musisz wiedzieć o ogromnym wycieku z kont LinkedInHaker sprzedaje 117 milionów hakowanych danych logowania LinkedIn w ciemnej sieci za około 2200 USD w Bitcoin. Kevin Shabazi, CEO i założyciel LogMeOnce, pomaga nam zrozumieć, co jest zagrożone. Czytaj więcej .

W tym czasie Dropbox powiedział, że haker uzyskał dostęp tylko do dokumentu projektu zawierającego adresy e-mail klientów. Doprowadziło to do powstania dużej ilości spamu kierowanego do użytkowników Dropbox, aw rezultacie do Dropbox zbadaj i dodaj dodatkowe funkcje bezpieczeństwa.

Zdecydowanie * nie * powiadomienie o naruszeniu z Dropbox. Właśnie…. Errm….. dobra higiena hasła….. pic.twitter.com/IxoFpdCKIC

- Marc Rogers (@marcwrogers) 27 sierpnia 2016 r

Wszystko wyciekło z Dropbox do połowy sierpnia 2016 r., Kiedy to Dropbox zaczął wysyłać e-maile z informacją klienci, którzy nie zmienili swoich haseł od połowy 2012 r., zostaną poproszeni o następne Zaloguj sie. Jednak nie wspomniano wyraźnie o włamaniu lub wycieku, a Dropbox nie zgłosił liczby użytkowników, do których wysłali ten e-mail.

Niedługo po wysłaniu tych e-maili, Płyta główna otrzymano około 5 GB danych, które prawdopodobnie zawierały adresy e-mail i zaszyfrowane hasła prawie 69 milionów użytkowników Dropbox. W 2012 roku, kiedy miał miejsce hack, Dropbox właśnie doszedł 100 milionów użytkowników więc ten wyciek stanowi wówczas ponad dwie trzecie bazy użytkowników.

Troy Hunt, założyciel strony Zostałem Pwned (HIBP), potwierdził zasadność włamania poprzez znalezienie poświadczeń jego i jego żony w danych. Następnie powiadomił 114136 subskrybentów HIBP, którzy zostali dotknięci wyciekiem.

Zrzut ekranu HIBP-Dropbox

Dropbox wydał oświadczenie potwierdzające, że dane zawarte w przecieku pochodzą z naruszenia w 2012 r. I że hasło resetuje „chroń [ed] wszyscy dotknęli użytkowników… Resetowanie dotyczy tylko [red.] użytkowników, którzy zarejestrowali się w Dropbox przed połową 2012 r. i od tego czasu nie zmienili swojego hasła ”. one skomentował również, że podjęte przez nich działania „chroniły wszystkie dotknięte konta, a [ich] wywiad wykazał, że było to ponad 60 milionów zasięg."

Po skontaktowaniu się z Dropbox w celu zweryfikowania zakresu naruszenia zostaliśmy poinformowani, że „[oni] nie mają dowodów na niewłaściwy dostęp do tych kont”, co stanowi pewną pewność dla użytkowników, których dotyczy problem.

The Hack - How Bad Is It?

Każde naruszenie danych to złe wieści, a potencjalne udostępnianie adresów e-mail i haseł użytkowników w Internecie jest samo w sobie straszne.

Jednak jeden przebłysk nadziei w hackowaniu Dropbox pochodzi z szyfrowania haseł. Mimo pozornie luźnego bezpieczeństwa wewnętrznego haseł w momencie włamania, Dropbox zaczął brać kroki w celu zwiększenia bezpieczeństwa haseł poprzez szyfrowanie wszystkich danych za pomocą bcrypt, jednego z najbezpieczniejszych skrótów algorytmy.

Szyfrowanie-Shutterstock

Należy jednak pamiętać, że tylko (około) połowa haseł została przeniesiona do bcrypt w momencie włamania, a pozostałe 34 miliony zostały zaszyfrowane przy użyciu SHA-1, mniej bezpiecznej metody szyfrowania. Nie wszystko też jest stracone dla tych haseł, ponieważ Dropbox solił hasła SHA-1, dodając losowy ciąg tekstu, aby utrudnić odszyfrowanie haseł.

Ta ochrona może uniemożliwić odszyfrowanie typów odszyfrowania haseł, ale to nie należy tego robić na pewno i zdecydowanie powinieneś podjąć kroki, aby uchronić się przed włamaniem, i zrobić sprawdź swoje własne bezpieczeństwo Chroń się dzięki corocznej kontroli bezpieczeństwa i prywatnościMamy prawie dwa miesiące do nowego roku, ale wciąż jest czas na pozytywne rozstrzygnięcie. Zapomnij o piciu mniejszej ilości kofeiny - mówimy o podjęciu kroków w celu zapewnienia bezpieczeństwa i prywatności online. Czytaj więcej aby zapewnić sobie bezpieczeństwo w Internecie w przyszłości.

Zmień hasło do Dropbox

Chociaż Dropbox wykonał już resetowanie hasła dla kont, których dotyczy problem, resetowanie hasła jest opłacalnym ćwiczeniem, zwłaszcza jeśli od jakiegoś czasu nie zmieniłeś hasła.

Bezpieczeństwo konta Dropbox

Istnieją pewne ustawienia zabezpieczeń w Dropbox, które mogą pomóc w ochronie twojego konta. Uwierzytelnianie dwuskładnikowe (2FA) można włączyć w ustawieniach konta. Po wprowadzeniu numeru telefonu Dropbox wyśle ​​Ci SMS-em ograniczony czasowo, unikalny kod, który będziesz musiał podać podczas próby logowania.

Dropbox_Security_Sessions

Możesz również sprawdzić, które urządzenia zostały autoryzowane do uzyskiwania dostępu do Twojego konta, za pośrednictwem aplikacji mobilnej lub stacjonarnej Dropbox. Sesje pokażą, które przeglądarki są zalogowane na Twoim koncie Dropbox.

Jeśli nie rozpoznajesz żadnej sesji lub urządzenia, możesz kliknąć przycisk x po prawej stronie, aby je usunąć i usunąć dostęp ze swojego konta. Jeśli chcesz być dokładny, nawet jeśli nie zauważysz niczego podejrzanego, możesz usunąć wszystkie sesje i urządzenia i po prostu zalogować się ponownie do aplikacji na używanych urządzeniach.

Włącz 2FA wszędzie

Większość głównych witryn ma obsługę uwierzytelniania dwuskładnikowego i tak jest jeden z najlepszych sposobów na ochronę siebie Zablokuj teraz te usługi za pomocą uwierzytelniania dwuskładnikowegoUwierzytelnianie dwuskładnikowe to inteligentny sposób ochrony kont internetowych. Rzućmy okiem na kilka usług, które możesz zablokować z większym bezpieczeństwem. Czytaj więcej w przypadku włamania. Bez dostępu do ciebie lub twojego telefonu haker nie będzie mógł zalogować się na twoje konto.

Jeśli nie masz pewności, czy witryna, której używasz, obsługuje uwierzytelnianie dwuskładnikowe, możesz to sprawdzić za pomocą Two Factor Auth, która utrzymuje bazę danych wszystkich obsługiwanych witryn.

Zmień dowolne ponownie użyte hasło

Jednym z głównych powodów, dla których wycieki haseł są tak złe wiadomości, jest to, że wiele osób często przetwarza hasła między witrynami.

Dropbox nawet uznaje ten problem, stwierdzając „O ile konta Dropbox są chronione, użytkownicy, których to dotyczy, którzy mogli ponownie użyć hasła w innych witrynach, powinni podjąć kroki w celu ochrony się na tych stronach”

Po włączeniu 2FA najlepszym działaniem zapobiegawczym, jakie możesz podjąć, jest upewnienie się, że używasz unikalnego, silnego hasła w każdej witrynie. Obejmuje to przejrzenie i upewnienie się, że nie używasz hasła Dropbox na żadnym innym koncie.

Użyj Menedżera haseł

Jednym z głównych powodów ponownego użycia haseł jest to, że często może być zbyt przytłaczające, aby je wszystkie zapamiętać. Na szczęście, pojawili się menedżerowie haseł Musisz zacząć korzystać z Menedżera haseł już terazDo tej pory wszyscy powinni używać menedżera haseł. W rzeczywistości nieużywanie menedżera haseł naraża Cię na większe ryzyko włamania! Czytaj więcej aby pomóc Ci zarządzać długą listą haseł.

Chociaż każdy menedżer haseł różni się nieco, wszystkie przechowują hasła, a niektóre oferują dodatkowe funkcje, takie jak bezpieczne generowanie hasła Twórz silne hasła za pomocą tych 4 niesamowitych aplikacji na AndroidaOpracowanie niezapomnianych, silnych haseł może być trudne - więc pozwól, aby aplikacja zrobiła to za Ciebie! Czytaj więcej i zdolność do zmień hasła automatycznie Jak automatycznie zmieniać hasła dzięki nowym funkcjom LastPass i DashlaneCo kilka miesięcy słyszymy o nowej luce w zabezpieczeniach, która wymaga zmiany hasła. Jest to męczące, ale teraz aplikacje do zarządzania hasłami dodają narzędzia do automatyzacji tego zadania, oszczędzając czas. Czytaj więcej .

Wyzwanie bezpieczeństwa Lastpass

Lastpass-Security-Challenge-Splash
LastPass jest jednym z wiodących menedżerów haseł i ma Narzędzie Security Challenge Opanuj swoje hasła na dobre dzięki wyzwaniu bezpieczeństwa LastpassSpędzamy tyle czasu w Internecie, mając tak wiele kont, że zapamiętywanie haseł może być naprawdę trudne. Martwisz się ryzykiem? Dowiedz się, jak korzystać z Wyzwania bezpieczeństwa LastPass w celu poprawy higieny bezpieczeństwa. Czytaj więcej . Jeśli zaimportujesz dane do LastPass, przeanalizuje ono wszystkie hasła i oceni je na ich podstawie siłę i ostrzeż cię, jeśli konto było zaangażowane w wyciek lub jeśli użyłeś tego samego hasła na inne strony. Następnie możesz zmienić słabe lub zmienione hasło na stronie karty wyników.

HaveIBeenPwnd

Wspominaliśmy, że Troy Hunt, założyciel Czy byłem Pwnd był jednym z pierwszych, którzy potwierdzili wyciek z Dropbox, weryfikując dane jego i jego żony w danych. Następnie wysłał e-maile do wszystkich zainteresowanych subskrybentów HIBP.

Zrzut ekranu HIBP

Subskrypcja nic nie kosztuje, a wszystko, co musisz zrobić, to podać swój adres e-mail i, jeśli Hunt kiedykolwiek dostanie dane, że na Twoim koncie pojawił się wyciek, usługa HIBP wyśle ​​Ci powiadomienie e-mailem ty. Ta usługa nie ma żadnych wad i jest jednym z najlepszych sposobów na uniknięcie wszelkich nowych wycieków.

Dropbox nie jest pierwszym... i nie będzie ostatnim

W 2016 r. Hacki, naruszenia danych i wycieki haseł stały się częścią cyfrowego życia. Nastąpiły głośne włamania do witryn takich jak LinkedIn i niesławny Ashley madison Ashley Madison Leak No Big Deal? Pomyśl jeszcze razDyskretny internetowy serwis randkowy Ashley Madison (skierowany głównie do zdradzających małżonków) został zhakowany. Jest to jednak o wiele poważniejszy problem niż przedstawiono w prasie, co ma poważne konsekwencje dla bezpieczeństwa użytkowników. Czytaj więcej wraz z niezliczonymi innymi.

Najlepszą radą jest upewnić się, że bierzesz proaktywne kroki Chroń się dzięki corocznej kontroli bezpieczeństwa i prywatnościMamy prawie dwa miesiące do nowego roku, ale wciąż jest czas na pozytywne rozstrzygnięcie. Zapomnij o piciu mniejszej ilości kofeiny - mówimy o podjęciu kroków w celu zapewnienia bezpieczeństwa i prywatności online. Czytaj więcej aby zabezpieczyć konta i tożsamość cyfrową, aby w razie nieuniknionego zdarzenia i włamania do innej witryny oraz ujawnienia haseł zapewnić najlepszą dostępną ochronę.

Źródło zdjęcia: Raxpixel.com przez Shutterstock, powitanie za pośrednictwem Shutterstock.com

James jest MakeUseOf's Buying Guides & Hardware News Editor i niezależnym pisarzem pasjonującym się zapewnianiem dostępności i bezpieczeństwa technologii dla wszystkich. Oprócz technologii interesuje się także zdrowiem, podróżami, muzyką i zdrowiem psychicznym. Inżynieria mechaniczna z University of Surrey. Można również znaleźć pisanie o przewlekłej chorobie w PoTS Jots.