quinta-feira, 1 de setembro de 2016

Ataque informático ao Dropbox roubou 68 milhões de senhas.

Ataque informático ao Dropbox roubou 68 milhões de senhas.
Ataque informático ao Dropbox roubou 68 milhões de senhas.
Um pacote contendo 68,6 milhões de credenciais (usuários e senhas) do Dropbox está circulando no submundo da web. Acredita-se que os dados foram obtidos em meados de 2012, mas só agora o arquivo está tendo uma distribuição mais ampla. O site "Motherboard" obteve uma confirmação não oficial de um funcionário do Dropbox de que os dados são autênticos.

O Dropbox já enviou e-mails para usuários que não alteraram sua senha desde meados de 2012 informando sobre uma mudança de senha obrigatória. A troca será solicitada no próximo acesso ao Dropbox. A empresa destaca que essa é uma "medida preventiva" e que não há indícios de que as contas foram acessadas indevidamente.

O especialista em segurança Troy Hunt, criador do site "Have I Been Pwned?", que notifica internautas que tiveram seus dados incluídos em vazamentos, também confirmou a validade dos dados no pacote. Ele conferiu que a senha inclusa no pacote para a conta de sua esposa está correta. "Não dá para falsificar algo assim", escreveu ele em seu blog, justificando que a senha conferida é única, aleatória e nunca foi usada em outro lugar.

Segundo Hunt, as senhas estão em formato "hash" (ou "digest"), o que esconde senha e exige que hackers interessados executem um programa para quebrar essas senhas. Metade delas está protegida com uma função chamada SHA-1, que é considerada fraca, enquanto as demais estão protegidas com Bcrypt, que é mais robusto.

Apesar disso, as senhas mais fracas com SHA-1 estão acompanhadas, no pacote recebido por Hunt, de uma informação chamada "salt". Sem essa informação, fica muito difícil, ou quase impossível, quebrar essas senhas.

Além de mudar a senha do próprio Dropbox, recomenda-se a mudança da senha em todos os demais serviços em que ela foi compartilhada. Como a senha aparece atrelada ao endereço de e-mail no pacote, qualquer serviço em que a mesma combinação de e-mail e senha foi usada pode ser acessado por hackers que obtiverem os dados e conseguirem quebrar as senhas inclusas.

Hacking

O Dropbox revelou em 2012 que um de seus funcionários havia sido hackeado e que o invasor obteve um "documento contendo endereços de e-mail" dos usuários. Na época, usuários do Dropbox estavam recebendo e-mails indesejados e essa foi a explicação dada pela empresa.

Como está claro agora, o roubo incluiu também as credenciais dos usuários em formato de "hash".

Estima-se que o Dropbox tinha aproximadamente 100 milhões de usuários à época da invasão. Hoje, são 500 milhões, segundo declarações da própria empresa. A companhia não informou quantos usuários receberam o aviso para a troca de senha.





> Comunidade Brasileira de Sistemas de Informação
> Fundada em 13 de Outubro de 2011
> E-mail: comunidadebsi@gmail.com
Local: Manaus, Amazonas, Brasil.

‍



Geeks Online: