Hlavní navigace

Únik 68 milionů hesel z Dropboxu v roce 2012 potvrzen

Daniel Dočekal 5. 9. 2016

Pokud ještě stále neberete vážně e-mail od Dropboxu o nutnosti změnit heslo, tak byste měli. Hesla z roku 2012 skutečně unikla.

V úniku (hacku) hesel z Dropboxu je možné získat informace o celkem 68 680 741 účtů. Hesla samotná nejsou v čitelné podobě a jakkoliv je u řady použit bcrypt, neznamená to, že byste se mohli spolehnout na to, že vaše prastaré heslo nikdo nerozlouskne.

Autenticitu hesel potvrzuje i Troy Hunt, v datech našel jak své staré heslo z roku 2012, tak heslo k účtu jeho manželky. Vedle hesel přes bcrypt je ale řada hesel jen přes SHA1 – což odpovídá i tomu, že zhruba v době úniku Dropbox přecházel právě na podstatně bezpečnější bcrypt. A také opouštěl původní SHA1 podobu bez saltu - nové uložení přes bcrypt je saltované (některé zdroje ale uvádí, že i SHA1 je saltované).

Dropbox na zpřístupnění uniklé databáze zareagoval tím, že v uplynulém týdnu všem účtům, které mohou být postižené, poslal upozornění, že je nutné, aby si nastavily nové heslo, a to staré jim zneplatnil. Pokud vám tedy takovýto e-mail došel, jste mezi těmi, jejichž heslo uniklo. Nevěříte-li, stačí si to ověřit klasicky přes www.haveibeenpwned.com nebo www.leakedsource.com

Už v roce 2012 se Dropbox zachoval správně, únik dat ohlásil a uživatelům, u kterých měl podezření na únik, už tehdy heslo resetoval. Bohužel až dodnes se nevědělo, kolik hesel přesně se útočníkům (či útočníkovi) podařilo získat.

Zajímavé na úniku je, že se hovoří o tom, že za ním stojí poměrně základní bezpečnostní chyba jednoho z tehdejších zaměstnanců Dropbopxu – používal stejné heslo na více místech a útočníkům se podařilo k němu dostat. A poté se nějak dostali k výše uvedeným datům. Z toho plyne dobré poučení, že by hesla používaná lidmi „ve firmě“ měla být zásadně odlišná od těch, které používají „na internetu“. Nezbývá než doufat, že tohle si firmy typu Dropboxu dokáží uhlídat – nakonec technická řešení v podobě správců hesel pro firmy a týmy by tomu mohla napomáhat více než dostatečně.

TIP: Pokud vy sami používáte Dropbox a ukládáte tam cokoliv jiného než nějaké náhodné hlouposti, tak je dobré vědět, že už poměrně dlouho umožňuje dvoufaktorové ověření a je velmi jednoduché si ho pořídit – potřebné kódy si můžete generovat třeba přes Google Authenticator.

Heslo z LinkedIn stejné jako k Dropbox účtu

Samotný hack Dropboxu podle všeho neproběhl tak, že by se snad útočníci dostali přímo do systému Dropboxu, celé to vypadá na ještě další zanedbání pravidel – tedy uložení dat někam, kde uložena být nemají. To ale Dropbox přiznal už v roce 2012, kdy v oznámení o hacku uvedl, že se útočníkovi v zásadě podařilo dostat na účet u Dropboxu, kam si zaměstnanec firmy uložil data související s projektem – dost dobře možná právě projektem "migrace ze SHA1 na bcrypt.

Jediná vada na kráse oznámení z roku 2012 byla, že Dropbox problém asi přeci jenom trochu zlehčil. Tehdy tvrdil, že vlastně šlo o únik e-mailů zákazníků, který by mohl vést tak maximálně ke spamu. O tom, že unikla i hesla, se tehdy nějak mírně zapomněli zmínit. V roce 2012 se navíc nepředpokládalo, že by mohlo jít o tolik účtů (60 milionů účtů znamenalo zhruba 60 % všech uživatelů, které Dropbox v roce 2012 měl).

Ještě absurdnější je to, že útočníci získali heslo zaměstnance Dropboxu pro LinkedIn, které se shodovalo s jeho heslem u Dropboxu. Z LinkedIn se k účtu navíc dostali tak, že se objevil v úniku tamních hesel. Jde tedy o podobný problém jako při nedávném hacknutí řady účtů na Twitteru. Postiženo bylo dost poměrně prominentních lidí, včetně Marka Zuckerberga

Našli jste v článku chybu?

6. 9. 2016 6:51

??? (neregistrovaný)

Mozna to bylo jen uvedeno na jeji blogu (v press to jiz neni). Nicmene zneni si nepamatuji, tak nevim zda to prubezne neupravuji. Orijde mi ze minuly tyden tam psali , ze o hesla neslo

6. 9. 2016 6:44

??? (neregistrovaný)

Email mi cca minuly tyden dorazil, ale zadne heslo mi resetovano nebylo.
V press release na jdjich webu bylo jen, ze by si ho mel zmenit kazdy uzivatel z 2012 a dal do minulosti

Btw: heslo jsem si na sluzbe zmenil sam. Neresetovali jej


Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie