Bununla birlikte, veritabanı ticaret topluluğundaki kaynaklar ve Leakbase ihlali ihbar hizmeti yoluyla elde edilen bir dosya seçiminde , Anakart , Dropbox kullanıcıları için e-posta adresleri ve karma (ve tuzlu) şifreler içeren 68.680.741 hesapta ayrıntı içeren yaklaşık 5 GB dosya buldu . İsimsiz bir Dropbox çalışanı, verilerin meşruiyetini doğruladı.
68 Milyon dışında, neredeyse 32 Milyon şifreleri “güçlü karma işlevi kullanılarak sabitlenir BCrypt , şifreleri geri kalanı ile karma iken, hacker kullanıcıların gerçek şifreleri elde etmek için zorlaştırır” SHA-1 karma algoritması .
Bu şifreli karmaların aynı zamanda bir tuz kullanmış olduğuna inanılmaktadır – bilgisayar korsanlarının onları kırmasını daha zor hale getirmek için şifrelerin daha da güçlendirilmesi için karma işleme sürecine eklenen rastgele bir dizedir.
“Geçtiğimiz hafta tamamladığımız proaktif şifre sıfırlama işleminin tüm potansiyel olarak etkilenen kullanıcıları kapsadığını doğruladık” diyor Dropbox için Güven ve Güvenlik Müdürü Patrick Heim.
“Bu sıfırlamayı, 2012’nin ortasından önceki eski şifrelerin Dropbox hesaplarına uygunsuz şekilde erişememesi için önlem aldık. Önceden kullanıcıların Dropbox’larını yeniden kullanmış olabileceğinden şüphelenmeleri durumunda diğer hizmetlerden şifreleri sıfırlamalarını öneririz. parola.”
Dropbox, ilk olarak 2012’de veri ihlalini açıkladı ve kullanıcılardan birinin parolalarının alındığını ve kullanıcıların e-posta adresleriyle bir dosyaya erişmek için kullanıldığını bildirerek, şirket hacker’ların da parolaları değiştirebildiğini açıklamadı.
Ancak bu hafta başlarında, Dropbox kullanıcılarına, kullanıcılarının kimlik bilgilerinin büyük bir kısmının kısa bir süre içinde Dark Web pazarında görülebilecek veri ihlalini elde ettiklerini bildirerek e-postalar gönderdi. 2012 ortalarından beri.
“Güvenlik ekiplerimiz, kullanıcılarımıza her zaman yeni tehditler için göz kulak oluyorlar. Devam eden bu çabaların bir parçası olarak, 2012 yılında elde edildiğine inandığımız eski bir Dropbox kullanıcı kimlik bilgileri (e-posta adresleri artı karma ve şifreli şifreler) hakkında bilgi aldık” şirket yazdı . “Analizimiz, kimlik bilgilerinizin o zamana ait olarak ortaya koyduğumuz bir olayla ilgili olduğunu gösteriyor.”
Dropbox, bu yaz ortaya çıkarılan “Mega-Breaches” listesine katılıyor. Yüzlerce yıllık çevrimiçi kimlik bilgileri, LinkedIn , MySpace , VK.com ve Tumblr dahil olmak üzere popüler sosyal ağ sitelerinde yüzlerce kez ihlal edildiğinde , Karanlık Web’de satıldı.