Dropbox: hackers rubano le credenziali d’accesso di oltre 68 milioni di utenti
Nel 2012 emerse in rete un database contenente gli indirizzi e-mail di un’enorme parte dell’utenza di Dropbox, oggi emerge che vennero rubate anche le relative password.
Lo scorso giovedì Dropbox, una delle più celebri piattaforme di file hosting, ha dichiarato che le credenziali d’accesso di ben 69,680,741 utenti sono state rubate.
L’aspetto più singolare della vicenda è che questa enorme perdita di dati si è effettivamente verificata nel 2012; a quel tempo però il problema era stato segnalato esclusivamente in relazione agli indirizzi di posta elettronica, solo oggi gli utenti coinvolti hanno saputo che tra le loro informazioni rubate c’erano anche le password.
Al momento della violazione la piattaforma aveva all’incirca 100 milioni di utenti registrati, dunque il furto di dati ha riguardato circa ⅔ dell’intera utenza.
Negli scorsi giorni Dropbox ha inviato un messaggio a tutti gli utenti iscritti da più di quattro anni e che da allora non hanno mai modificato la password, richiedendo di aggiornare il prima possibile le proprie credenziali d’accesso.
A volte neanche chi lavora per il web sa come proteggere le proprie informazioni, incredibilmente infatti chi ha reso vulnerabile la piattaforma sembra essere stato proprio un dipendente di Dropbox. Il dipendente in questione avrebbe riutilizzato una password su LinkedIn. A seguito dell’attacco subito nel 2012 dal social network, gli hackers hanno semplicemente riutilizzato le credenziali per accedere al database di Dropbox.
La compagnia ha dichiarato che non ci sono indizi riguardo l’effettiva violazione degli account coinvolti e che ancora non sono in grado di individuare da dove sia provenuto l’attacco.
“La lista di indirizzi mail e relative password emersa dalla rete è sicuramente reale, in ogni caso non abbiamo alcun motivo di pensare che gli account abbiano subito log-in non autorizzati. Siamo mortificati per l’accaduto e metteremo massimo impegno nel far emergere tutti i dettagli,” scrive l’azienda in via ufficiale.
Sottolineiamo che le precauzioni prese da Dropbox in termini di crittografia sono state efficienti, i database contenevano infatti gli indirizzi e-mail visibili ma le password criptate.
Nel 2012, ovvero al momento del furto, il servizio di cloud storage era nel mezzo di un cambiamento in relazione allo standard di criptazione, da SHA1 a bcrypt; probabilmente la fase di transizione ha reso il sistema vulnerabile.
Sia SHA1 che bcrypt sono funzioni di hashing – hash functions, letteralmente “funzioni carne tritata” – ovvero algoritmi che trasformano dati di lunghezza arbitraria in una stringa binaria di dimensione fissa criptata.
Le funzioni di hashing bcrypt sono effettivamente potenti, ciò significa che è difficile che gli hackers possano decifrare molte delle vere password rubate, al contrario l’algoritmo SHA1 sta effettivamente invecchiando e risulta sempre meno sicuro.
Dal 2012 comunque Dropbox ha cambiato i propri metodi di criptazione diverse volte, introducendo anche il cosiddetto “salt”: una stringa casuale aggiunta al processo di hashing che ne rafforza l’efficacia.
Dunque, indubbiamente la perdita di dati è reale e Dropbox deve indagare a riguardo, tuttavia le misure di sicurezza adottate dal sito hanno messo al sicuro l’utenza tanto da rendere poco “succulento” il database.
Ovviamente il valore di questi archivi elettronici rubati diminuisce quando le password e in generale le informazioni che contengono sono state adeguatamente criptate e rese perciò illegibili, il dump relativo a Dropbox infatti non sembra essere apparso su nessuno dei più grandi marketplace di database del dark web.
Questo è solamente l’ultimo attacco simile, quest’estate centinaia di milioni di dati provenienti da siti come Myspace, Tumblr e LinkedIn sono stati trafugati e illecitamente inseriti nel web.
Cosa fare? Sicuramente è buona regola cambiare password periodicamente e accettare di avviare tutte le ulteriori misure di sicurezza che i siti propongono.