В минувший уик-энд онлайн-хранилище Dropbox начало рассылать уведомления о необходимости обновить пароль, если он не менялся с 2012 года. Соответствующая подсказка будет выведена пользователю при попытке захода в хранилище. Операторы пояснили, что это «чисто профилактическая мера», и подчеркнули, что свидетельств несанкционированного доступа к каким-либо аккаунтам нет.

В четверг вечером Патрик Хайм (Patrick Heim), отвечающий в компании за надежность и безопасность услуг, сообщил о том, что данный шаг был вызван обнаружением дампа учетных данных пользователей Dropbox, предположительно датированного 2012 годом. По свидетельству Хайма, эта база включает email-адреса, а также хэшированные и посоленные пароли.

«Учитывая мониторинг угроз и применяемый метод защиты паролей, мы полагаем, что ненадлежащего доступа к аккаунтам не было, — пишет Хайм. — Тем не менее в качестве одной из многочисленных мер предосторожности мы призываем всех, кто не менял пароль с середины 2012 года, обновить его при ближайшем заходе». Заметим, при отсутствии свидетельств взлома такая перестраховка вполне оправданна: использование хэшей и «соли» — отнюдь не панацея, хотя и затрудняет жизнь взломщикам.

Представители компании также рекомендуют включить опцию двухэтапной аутентификации, если пользователи этого еще не сделали, — это добавит еще один уровень безопасности. Кроме того, если пароль к Dropbox используется на других сайтах, там его также следует сменить.

Утечка пользовательских идентификаторов, полагают на сервисе, произошла в ходе инцидента 2012 года. Хакеру тогда удалось завладеть именами и паролями некоторых пользователей, в том числе служащего компании, и взломать аккаунты Dropbox с целью рассылки спама. Несмотря на жалобы пользователей, операторы онлайн-хранилища две недели не желали признавать факт вредоносной активности на сервисе, но в итоге им пришлось это сделать.

После этой киберкампании на Dropbox были приняты дополнительные меры безопасности, в частности автоматизировано детектирование подозрительной активности. Также этот сервис стал одним из первых, на котором появилась двухфакторная аутентификация.

С тех пор компания последовательно продолжает укреплять кибербезопасность. Так, весной текущего года на платформе HackerOne была запущена программа выплат за баги, найденные в продуктах и сервисах Dropbox.

Категории: Кибероборона, Хакеры