Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - lösenordläcka, Dropbox

Läckta inloggningsuppgifter från Dropbox 2012

Säkerhetsincident hos Dropbox under 2012 var större än rapporterad.

Vad har hänt

I slutet av juli 2012 rapporterade Dropbox att de hade haft en säkerhetsincident där någon obehörigt tagit sig in via en anställds konto och exfiltrerat ett dokument med e-postadresser till ett antal Dropbox-kunder[0].

Nyligen har det rapporterats att den incidenten var betydligt större än vad Dropbox först konstaterat och att inloggningsuppgifter till 68 miljoner konton från år 2012 har läckt.

Vilka uppgifter har läckt?

Uppgifterna i fråga är användarnamn och saltade hashar av lösenord.

Användarnamnen för Dropbox-inloggningar är i form av e-postadresser.

Lösenordshasharna förekommer i två former:
- Saltade SHA1-hashar där saltet inte förekommer i klartext
- Bcrypt saltade-hashar, där saltet finns med.

Då Dropbox själva inte har kommenterat exakt vad som har hänt, är det svårt att veta om detta är allt som läckt.

Rekommendationer

CERT-SE rekommenderar att de som är Dropbox-användare sedan 2012 eller tidigare och som inte har bytt lösenord sedan dess, ändrar det så fort som möjligt.

Dropbox har skickat ut en uppmaning till de användare som kan vara drabbade där de uppmanas att logga in och byta lösenord.

Ifall de tidigare lösenordet har återanvänds på andra ställen, rekommenderar CERT-SE att man byter dessa så fort som möjligt.

Ytterligare läsning

[0] Dropbox - 'Security update and new features'
https://blogs.dropbox.com/dropbox/2012/07/security-update-new-features/

[1] Dropbox - 'I’m being asked to create a new password on dropbox.com—why, and what should I do?'
https://www.dropbox.com/help/9257?oref=e

[2] Troy Hunt - 'The Dropbox hack is real'
https://www.troyhunt.com/the-dropbox-hack-is-real/

[3] TechCrunch - 'Dropbox employee's password reuse led to theft of 60M+ user credentials'
https://techcrunch.com/2016/08/30/dropbox-employees-password-reuse-led-to-theft-of-60m-user-credentials/

[4] Motherboard/VICE - 'Hackers stole account details for over 60 million Dropbox users'
https://motherboard.vice.com/read/hackers-stole-over-60-million-dropbox-accounts