На прошлой неделе компания Dropbox принудительно сбросила все пароли, которые не менялись с 2012 года. Само решение связано с инцидентом, имевшим место в 2012 году, когда хакеры взломали LinkedIn и украли данные 117 млн пользователей, в числе которых оказался сотрудник Dropbox. Вскоре после взлома LinkedIn компания Dropbox опубликовала официальное заявление, сообщив, что злоумышленники использовали купленный на «черном» рынке пароль сотрудника компании для получения доступа к защищенному файлу с адресами электронной почты пользователей. Тогда компания извинилась перед пользователями, которые потенциально могли стать жертвами спама, заверив, что никаких других данных, помимо адресов почты, не украли. На днях выяснилось, что Dropbox сказала не все.
Сразу несколько независимых источников сообщают о том, что четыре года назад хакеры украли данные более 60 млн пользователей Dropbox, причем похищены были не только адреса электронной почты, но и пароли. Правда, последние были зашифрованы, так что повода беспокоится нет, но сам факт, что Dropbox скрыла эту информации, определенно, расстраивает. В 2012 году аудитория облачного хранилища Dropbox составляла 100 млн человек – вдвое больше, нежели годом ранее. Сейчас у сервиса насчитывается более 500 млн зарегистрированных пользователей. Кроме того, на тот момент Dropbox была относительно молодой компанией (ее рыночная капитализация составляла «всего» $4 млрд, тогда как сейчас этот показатель достигает $10 млрд), но это вовсе не служит оправданием и не снимает с компании ответственность за проступок прошлых лет.
Остается добавить, что на момент взлома Dropbox как раз находилась в процессе замены алгоритма шифрования SHA-1 на более надежный стандарт bcrypt. Примерно половина украденных паролей была защищена посредством SHA-1, в случае другой половины – применялся стандарт bcrypt. Кроме этого применялась еще дополнительная мера защиты – соль. Это строка данных, которая передается хеш-функции вместе с паролем. Данная функция используется для удлинения строки пароля, чтобы увеличить сложность взлома.
Источник: TechCrunch и Motherboard