7 Millones Detalles de inicio de sesión de Dropbox puestos en línea para Bitcoin, Dropbox niega Hack

Detalles de acceso a más de 7 millones de cuentas en el servicio de intercambio de archivos Se ha robado Dropbox, y el hacker ha solicitado Bitcoin para la divulgación de información.

Los detalles se publicaron en un documento de Pastebin, seguido de varios más que desde entonces se revelaron falsos.

Mientras tanto, Dropbox ha llevado a su blog para asegurar a los usuarios que los detalles no fueron robados directamente sino de terceros, y que su API y seguridad no se vieron comprometidas en ningún momento:

y ldquo ; Las noticias recientes que afirman que se ha pirateado Dropbox no son ciertas. Tus cosas están seguras Los nombres de usuario y contraseñas a los que se hace referencia en estos artículos fueron robados de servicios no relacionados, no de Dropbox. Los atacantes luego usaron estas credenciales robadas para tratar de iniciar sesión en sitios de Internet, incluido Dropbox. & rdquo;

Sin embargo, la brecha pone de relieve los problemas asociados con la confianza en operaciones centralizadas y la flexibilidad de compartir datos de usuario. El hecho de que las credenciales hayan sido tomadas de partes distintas de Dropbox probablemente agregará más leña al fuego con respecto al tratamiento de la información.

En una declaración anterior a The Next Web, Dropbox buscó sofocar cualquier pánico:

& ldquo; Desafortunadamente, estos nombres de usuario y contraseñas fueron robados de otros servicios y utilizados para intentar iniciar sesión en cuentas de Dropbox. Previamente habíamos detectado estos ataques y la gran mayoría de las contraseñas publicadas han expirado hace algún tiempo. Todas las otras contraseñas restantes han caducado también. & rdquo;

Si bien todos los inicios de sesión afectados se han restablecido, la respuesta de Dropbox resalta que en realidad eran notas de TechCrunch genuinas, a pesar de que ninguna cuenta se vio comprometida por la actividad maliciosa.

y ldquo; Si se trata de una simple polinización cruzada de contraseñas (es decir, los usuarios de la web que reutilizan las mismas credenciales de inicio de sesión) en varios servicios, la afirmación de Dropbox de que sus servidores no han sido pirateados técnicamente se pone de pie, & rdquo; dice. y ldquo; Sin embargo, el resultado final - cuentas de usuario comprometidas - es el mismo. & rdquo;

Las alternativas para garantizar la seguridad incluyen SpiderOak, que usa un sistema de conocimiento cero para hacer que el intento de piratería sea inviable.

Mientras tanto, la verdadera extensión de la información en las manos equivocadas es difícil de determinar; una mezcla de & ldquo; exageración y rdquo; y & ldquo; minimizando y rdquo; , como escribe un comentarista de Gizmodo, sirve como un recordatorio oportuno de las imperfecciones de las actuales normas de seguridad principales utilizadas por Dropbox y otros sitios supuestamente afectados.

Dropbox ofrece una función de autenticación de 2 factores, cuyo uso es opcional pero habría creado una dificultad considerable para acceder a las cuentas.Aún no se ha revelado si se implementarán mayores requisitos de seguridad para los usuarios en el futuro, pero la responsabilidad recaerá en Dropbox para asegurar a la comunidad que un robo repetido -o incluso un truco completo- se puede prevenir y se evitará en el futuro.

Comentario de la comunidad

Michal Wendrowski (Especialista en seguridad de Internet, Rublon):

"Este incidente muestra nuevamente que confiar en contraseñas, en particular contraseñas reutilizables, representa una amenaza para la seguridad de Internet como Las contraseñas supuestamente fueron robadas de otros servicios, pero también podrían haber sido generadas por el atacante y utilizadas en una fuerza bruta o ataque de diccionario.

"Hay muchas posibilidades y probablemente no seamos informados sobre las circunstancias exactas. del ataque Los servicios son responsables de la seguridad de sus usuarios. Para garantizar esto, deben habilitar la protección de cuenta para todos de forma predeterminada. El nivel de protección debe estar alineado con el tipo de servicio. Realizar una transferencia de dinero debe requerir una confirmación usando su teléfono, pero el inicio de sesión en un chat en línea solo puede requerir una prueba de identidad por correo electrónico.

"Recomiendo usar solo servicios en la nube que le permitan proteger su cuenta mediante la autenticación de dos factores. Confiar en las contraseñas representa una amenaza para su seguridad. Estos ataques continuarán".

¿Le gustó este artículo? Usted también podría estar interesado en leer estos:

  • Estelar y Ripple Hackeado: Justcoin to the Rescue

  • EXCLUSIVO: Negociador clave en Bter NXT Hack Speaks


Síganos en Facebook


  • Bitcoin News
  • Dropbox
  • Hackers