Niedawno Niebezpiecznik.pl pisał o tym, że użytkownicy Dropbox, na e-maile użyte tylko do założenia konta na Dropboksie, otrzymują spam. Podejrzewano wtedy wyciek bazy z serwisu, ale Dropbox po wstępnej analizie wykluczył włamanie. Teraz jednak Dropbox przesłał swoim użytkownikom ciekawego e-maila i zresetował im wszystkim hasła…
Dziwny e-mail od Dropbox
Oto e-mail jaki otrzymali dziś użytkownicy Dropboksa:
Na czerwono zaznaczono zwroty sugerujące, że to nie z Dropboksa wyciekły dane, a z innych serwisów — a sam Dropbox występuje jedynie w roli “dobrego wujka”, który na wszelki wypadek resetuje hasła. Dlaczego? Bo ludzie mają zwyczaj używania jednego hasła — a więc jeśli wycieknie ich hasło z LinkedIn, a to samo mają do Dropboksa, to wiadomo co może się stać — stąd wymuszony reset haseł, czyli sytuacja podobna do tej, która w Polsce też miała miejsce kilka lat temu: po wycieku bazy Wykop.pl hasła swoim użytkownikom zresetowała Nasza Klasa oraz Allegro.
Możecie teraz pomyśleć — “o jaki ten Dropbox miły, uczynny i dobry. Jak troszczy się o swoich użytkowników. Brawo Dropbox!“. Możecie myśleć, że że wasze dane są bezpieczne, że nic nie wyciekło, ale będzie to niestety myślenie błędne…
A jednak, Dropbox hacked
Otóż, Dropbox przyznał (ale sprytnie, bo nie w mailingu rozesłanym do wszystkich użytkowników, a na zdecydowanie mniej poczytnym blogu), że jednak odnalazł ślady nieautoryzowanego dostępu do kont swoich użytkowników (nie podano liczby) w tym — i to najważniejsze — na konto jednego ze swoich pracowników.
I teraz najlepsze: tak się złożyło, że ten pracownik pracował nad projektem, który zawierał w sobie listę e-mail wszystkich użytkowników Dropboksa. I to ma być przyczyna spamu na adresy podane przez użytkowników Dropboxa podczas rejestracji.
Atak na Dropbox, jest więc bardzo podobny do ataku na Cloudflare, do którego również dostano się dzięki przejętej skrzynce pocztowej jednego z pracowników i brakiem podstawowych zasad ochrony danych użytkowników.
Wnioski:
- Nie warto używać jednego hasła do wielu serwisów. Apelujemy o tym po każdym wycieku bazy a i tak są tacy, którzy myślą, że ich to nie spotka…
- Gdzie to możliwe należy włączyć podwójne uwierzytelnienie
- Pisanie do użytkowników cwanych e-maili z półprawdami nie jest dobrą drogą. Dziś, mimo to, że Dropbox napisał w e-mailu że wyciekły hasła z “some” nie “our” serwisów oraz że wymuszony reset jest na wszelki wypadek i że do konta adresata nikt się nie włamał …i tak dostaliśmy od naszych czytelników kilkadziesiąt forwardów z komentarzem typu: “patrzcie, z dropbox wyciekły hasła!”
- Warto szkolić swoich pracowników z bezpieczeństwa, uświadamiać im zagrożenia pracy z komputerem. Nawet popularna, profesjonalna i dobrze zabezpieczona “z zewnątrz” usługa może zostać “złamana” przez błąd i niewiedzę któregoś z pracowników (patrz atak na RSA).
- Firmy powinny zastanowić się na rozwiązaniem prywatnej chmury, dobrym przykładem jest system firmy CTERA