Michal Marek Internetissä viime tuntien aikana ilmestyneiden raporttien mukaan lähes 7 miljoonan käyttäjän kirjautumistiedot keräävä Dropbox-tietokanta on joutunut hakkerihyökkäyksen uhriksi. Samannimisen pilvitallennustilan takana olevan Dropboxin edustajat kuitenkin kielsivät tällaisen hyökkäyksen. He väittävät, että yhden kolmannen osapuolen palvelun tietokanta, jolla on myös pääsy Dropbox-käyttäjien kirjautumistietoihin, on hakkeroitu. Tällaisia palveluita on tietysti monia, sillä Dropbox-integraatiota – esimerkiksi synkronointipalveluina – tarjoavia sovelluksia on satoja.
Oman lausunnon mukaan hakkerit eivät hyökänneet Dropboxiin. Valitettavasti käyttäjätunnuksia ja salasanoja varastettiin muiden palveluiden tietokannoista, ja niitä käytettiin sitten kirjautumiseen toisten ihmisten Dropbox-tileille. Nämä hyökkäykset on tiettävästi tallennettu Dropboxiin aiemmin, ja yrityksen teknikot ovat mitätöineet suurimman osan luvatta käytetyistä salasanoista. Myös kaikki muut salasanat on mitätöity.
Dropbox kommentoi myöhemmin koko asiaa blogissaan:
Dropbox on ryhtynyt toimiin varmistaakseen, että vuotaneita tunnistetietoja ei voida käyttää väärin, ja on mitätöinyt mahdollisesti vuotaneet salasanat (ja luultavasti monet muutkin, varmuuden vuoksi). Hyökkääjät eivät ole vielä julkaisseet koko varastettua tietokantaa, vaan vain näytteen tietokannan osasta, joka sisältää B-kirjaimella alkavia sähköpostiosoitteita. Hakkerit pyytävät nyt Bitcoin-lahjoituksia ja sanovat julkaisevansa lisää osia tietokannasta, kun he saavat lisää taloudellisia lahjoituksia.
Joten jos et ole vielä tehnyt niin, sinun tulee kirjautua sisään Dropboxiin ja vaihtaa salasanasi. Olisi myös viisasta tarkastella luetteloa tiliisi liittyvistä kirjautumisista ja sovellustoiminnasta Dropbox-sivuston suojausosiossa ja mahdollisesti poistaa valtuutus sovelluksilta, joita et tunnista. Mikään Dropbox-tiliisi linkitetyistä valtuutetuista sovelluksista ei kirjaa sinua automaattisesti ulos, jos vaihdat salasanasi.
On erittäin suositeltavaa ottaa kaksinkertainen suojaus käyttöön kaikilla tilillä, jotka tukevat tällaista ominaisuutta, minkä Dropbox tekee. Tämä suojausominaisuus voidaan ottaa käyttöön myös Dropbox.comin tietoturvaosiossa. Jos olet käyttänyt Dropbox-salasanasi muualla, sinun tulee välittömästi vaihtaa salasanasi myös siellä.
Eli ei ole mahdollista julkaista mikä kolmas osapuoli se oli? Uskon, että se auttaisi ihmisiä eniten.
En usko, että kolmannen osapuolen nimi on vielä tiedossa
Todennäköisesti ei ainoa…
Sekava artikkeli, joka ei kuvaa mitä tapahtui.
Joku, joka hankki nimi- ja salasanatietokannan, jolla ei ole mitään tekemistä Dropboxin kanssa, kokeili myös näitä valtuustietoja kyseiselle palvelulle. (Hän yritti hyödyntää sitä tosiasiaa, että ihmisillä on samat nimet ja salasanat useilla palvelimilla)