Wyciekło 7 milionów haseł z Dropboxa?

Około 700 rzekomych loginów i haseł wykorzystywanych w serwisie Dropbox opublikowano na Pastebinie, anonimowej platformie służącej do przekazywania informacji. Jeden z jej użytkowników twierdzi, że posiada dane logowania do 7 milionów kont, i wzywa do wpłacania dotacji w kryptowalucie Bitcoin, w zamian obiecując publikację kolejnych danych.

W e-mailu do agencji Reuters przedstawiciele Dropboxa zaprzeczyli, by dane te zostały wykradzione z ich serwerów: Te nazwy użytkowników i hasła zostały niestety skradzione z innych usług i wykorzystane przy próbach zalogowania się na konto Dropbox. Wykryliśmy wcześniej podobne ataki i zdecydowana większość haseł jest nieaktualna już od dłuższego czasu.

Z informacji podawanych przez Niebezpiecznik wynika, że publikowane na Pastebinie dane są poprawne i można dzięki nim przejąć kontrolę nad plikami użytkowników. Dropbox wymusza jednak zmianę haseł na kontach, które mogły paść ofiarą ataku.

Jak mogło dojść do wycieku

- Ekipa Dropboxa zapewnia, że dane do logowania nie wyciekły od nich w wyniku ataku hakerskiego, co wskazuje na dwie możliwości. Jedna może wynikać z podstawowego błędu większości internautów, na który stale staramy się uczulać, czyli wykorzystywania jednego loginu i hasła do wszystkich kont. W momencie wycieku danych w jednym miejscu są one wprowadzane do najpopularniejszych serwisów (Gmail, Facebook, Dropbox, Instagram) - tłumaczy Arkadiusz Zakrzewski, specjalista pomocy technicznej AVG.

- Druga możliwość to wyciek danych z serwisu czy usługi firm trzecich. Może to być program, który potrafi korzystać z usług Dropboxa i przechowywać czy pobierać z niego Twoje pliki - komentuje ekspert, dodając, że hakerzy rozpoczęli dopasowywanie zebranych danych i w ten sposób otrzymali pary adres e-mail i hasło, które można wykorzystać również w usłudze Dropbox.

Włączamy dwuetapowe uwierzytelnianie w usłudze Dropbox

Mimo że cała baza, zawierająca dane logowania do 7 milionów kont, jeszcze nie wyciekła, bo hakerzy czekają na wpłaty, już teraz dla świętego spokoju warto zmienić swoje hasło do usługi Dropbox i włączyć dwuskładnikowe uwierzytelnianie. Aby to zrobić:

1. zaloguj się w witrynie Dropbox,
2. kliknij swoją nazwę w prawym górnym rogu dowolnej strony, aby otworzyć menu konta,
3. przejdź do Ustawień i wybierz kartę Bezpieczeństwo,
4. w sekcji Dwustopniowe uwierzytelnianie kliknij Włącz - ze względów bezpieczeństwa zostaniesz poproszony o ponowne wprowadzenie swojego hasła,
5. kiedy tego dokonasz, będziesz mógł wybrać, czy chcesz otrzymywać kod zabezpieczeń przez SMS czy za pomocą aplikacji w telefonie;
6. jeżeli wybierzesz weryfikację SMS, będziesz musiał podać swój numer telefonu - dwuetapowe uwierzytelnianie zostanie włączone, gdy wpiszesz na stronie kod wysłany pod Twój numer;
7. jeżeli wybierzesz aplikację mobilną, będziesz musiał albo zeskanować kod QR z kluczem, albo wpisać podany klucz ręcznie - można skorzystać m.in. z takich aplikacji:
   • Google Authenticator (Android/iPhone/BlackBerry),
   • Duo Mobile (Android/iPhone),
   • Amazon AWS MFA (Android),
   • Authenticator (Windows Phone 7).

Po włączeniu dwuskładnikowego uwierzytelniania Dropbox będzie Cię prosił o podanie sześciocyfrowego kodu zabezpieczeń za każdym razem, gdy będziesz logować się na swoje konto lub podłączać do niego nowy komputer, telefon albo tablet. Zdecydowanie warto skorzystać z tej opcji, aby podnieść bezpieczeństwo swoich - przechowywanych online - plików.