Dropbox connaissait le hack original, rapporte la carte mère, mais n’était pas conscient de l’ampleur. Le site a déclaré avoir obtenu une copie de 5 Go des données compromises contenant les adresses e-mail et les mots de passe hachés de plus de 68 millions de comptes. Un « employé senior de Dropbox » anonyme a vérifié l’authenticité des données.
Vidéos recommandées
Au même moment, Troy Hunt, le professionnel de la sécurité derrière haveibeenpwned.com, a sauvegardé ces affirmations. Il a écrit que cette base de données n'est pas un ensemble d'informations d'identification qui fonctionnent par hasard sur Dropbox, mais plutôt le résultat d'un piratage bien réel.
"Il ne fait aucun doute que la violation de données contient des mots de passe Dropbox légitimes, vous ne pouvez tout simplement pas fabriquer ce type de mots de passe. de chose », a-t-il déclaré, mais a ajouté qu'il pensait que Dropbox gérait très bien la situation en réinitialisant de force les paramètres des utilisateurs. mots de passe.
Patrick Heim, responsable de la confiance et de la sécurité chez Dropbox, a déclaré que tous les utilisateurs potentiellement concernés avaient été informés. Il a déclaré qu'il s'agissait d'une mesure de précaution, mais n'a pas précisé combien de mots de passe avaient été réinitialisés par l'entreprise.
C'est dans une déclaration ultérieure que Dropbox a précisé: « Nous pouvons confirmer que, sur la base de nos renseignements, le nombre que nous avons vu se situe dans la fourchette de plus de 60 millions. »
Heim a en outre averti les utilisateurs de modifier leurs mots de passe sur d'autres sites s'ils ont réutilisé leurs informations d'identification Dropbox, et même s'ils utilisent la vérification à deux facteurs. La société a ajouté qu'elle n'avait vu aucune preuve d'activité malveillante sur les comptes concernés.
Les mots de passe volés ont été hachés pour éviter qu'ils ne soient révélés à un attaquant. Cependant, ils n’ont pas tous été hachés de la même manière. Il semblerait que 32 millions de mots de passe sur 68 millions aient été hachés par bcrypt, ce qui est considéré comme assez fort, mais le reste a été haché avec SHA-1, qui devient progressivement obsolète et plus facile à fissure.
Si vous êtes un utilisateur Dropbox et disposiez d'un compte en 2012, vous devriez avoir reçu une notification de réinitialisation du mot de passe. Sinon, vous souhaiterez peut-être quand même changer votre mot de passe par mesure de sécurité, et certainement modifier tous les mots de passe réutilisés sur d'autres sites.
Recommandations des rédacteurs
- Le piratage massif de Words with Friends expose 218 millions de détails de connexion à un compte
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
