Over 68 millioner epostadresser og krypterte passord fra den populære lagringstjenesten Dropbox er lekket på nettet.
Selve datainnbruddet skjedde allerede i 2012, men omfanget av lekkasjen ble ikke kjent før i august i år, da den lekkede filen begynte å sirkulere på nettet.
Motherboard har fått tak i filen, og har verifisert at den er reell. Filen inneholder en kombinasjon av epostadresser og krypterte passord til 68 680 741 kontoer. Motherboard har også vært i kontakt med en ansatt i Dropbox, som bekrefter at filen er reell.
Det er viktig å presisere at det ikke er innholdet i brukeres Dropbox-kontoer som er lekket, men innloggingsdata som epostadresser og passord.
Heldigvis var passordene i Dropbox sine interne systemer krypterte, så selv om hackere nå har denne informasjonen er det ikke gjort i en håndvending å lese ut de reelle passordene. Det kreves ganske store mengder datakraft og tålmodighet å hente de ut via et såkalt brute force-angrep.
For noen dager siden informerte Dropbox om lekkasjen, uten å nevne lekkasjens omfang.
Ansatt i Dropbox brukte samme passord flere steder
Ifølge Techcrunch klarte hackerne å få tilgang til Dropbox’ brukerdatabase fordi en av selskapets ansatte benyttet seg av samme passord på flere steder, blant annet på det sosiale nettverket LinkedIn, som også ble hacket i 2012. Hackerne brukte så dette passordet for å logge seg på den ansattes Dropbox-konto, hvor de videre fikk tilgang til brukerdatabasen.
– De aller fleste bedrifter bruker Dropbox, uten å vite det
Per Øyvind Thorsheim er en av verdens ledende eksperter på passord og digital sikkerhet. Han hevder at Dropbox kan utgjøre et sikkerhetshull for mange bedrifter, selv om bedriften ikke benytter seg av Dropbox:
– På grunn av Dropbox sin utbredelse i privatmarkedet er det mange bedrifter som uvitende har sensitive dokumenter liggende på diverse Dropbox-kontoer rundt om. Det er et potensielt sikkerhetshull som mange arbeidsgivere kanskje ikke er klar over. Det er på tide å rydde i denne praksisen, sier Thorsheim.
Brukere blir bedt om å bytte passord
Alle brukere som er omfattet av hackerangrepet, og brukere som ikke har byttet passord siden 2012, blir bedt om å endre passordet sitt neste gang de logger på Dropbox.com.
Vi i NRKbeta er hyppige brukere av Dropbox, men er likevel ikke nevneverdig bekymret for denne lekkasjen da vi alltid sørger for å bruke tofaktor-pålogging på tjenester som støtter dette. Instrukser for å aktivere dette finner du på Dropbox sine sider.
Bruker du tofaktor-pålogging på tjenester du er avhengig av? Har du eventuelt andre tips til hvordan man best mulig kan sikre at informasjon ikke kommer på avveie?
Kan anbefale denne artikkelen for de som måtte ønske litt mer teknisk informasjon: troyhunt.com/the-dropbox-hack-is-real/
Og ikke minst Troy Hunts verktøy haveibeenpwned.com/ for å sjekke om du er berørt av de lekkede dataene. Den siden kan for øvrig være kjekk å registrere seg på m.t.p. andre (både tidligere og kommende) datainnbrudd.
Hei, jeg bruker også to-faktor innlogging på alle plattformer der dette tilbys. De fleste av disse bruker sms til telefonen min for å sende meg en kode. Følgelig har jeg blitt paranoid og unngår alle apper som krever rettigheter til å lese sms-er på min Android telefon. Bla har jeg ikke facebook eller twitter installert pga dette. Er det noen andre der ute som deler denne bekymringen?
Anbefaler deg virkelig å lage Lastpass-konto og bruke det.
Jeg fikk e-postkontoen min hacket for en del år tilbake, og hadde skikkelig dårlig sikkerhetsrutiner. Det tok en god stund før jeg oppdaget det, og da var det for sent. Rockstar-kontoen min ble hacket, Origin, Steam (de klarte det ikke), Ubisoft (de klarte det ikke), Sony Entertainment Networks,Netflix, Paypal, Ebay, Spotify…
Det tok tid hos enkelte å få ting på plass, men til slutt fikk jeg sikret alle sidene mine igjen. Nå bruker jeg Lastpass og har ikke samme passord noen steder, og bruker dobbeltverifisering fra Lastpass i tillegg. Litt prakk er det, det skal jeg innrømme, men jeg sover mye bedre om natta nå.
Stiller meg bak denne anbefalingen!
Vil gjerne legge til at det finnes gode alternativer til Lastpass, der den krypterte samlingen med passord lagres lokalt (gir mer kontroll over hvem som har tilgang til filen, dersom man er ultraparanoid og ikke stoler paa krypteringen) eller evt. synkroniseres via Dropbox (og dermed blir det enda viktigere med et sikkert dropbox-passord).
Selv bruker jeg KeepassX og synkroniserer mellom Linux og Mac og Android. Det er gratis og helt supert.
For de som kun bruker Windows og Android er Keepass (forskjellig fra KeepassX, men med kompatible filformat) et godt alternativ.
For de som bruker Mac og iOS er 1Password et utrolig bra program for passordhaandtering. Koster litt, men er verdt pengene.
Hoeres kanskje ut som mye styr, men det gaar veldig greit naar man kommer I gang. Kan virkelig anbefales!
Men altsaa, ikke noe I veien med Lastpass!
1Password er min goto.
LastPass ble forøvrig hacka i fjor – en av fordelene med å ha en offline database:
lifehacker.com/lastpass-hacked-time-to-change-your-master-password-1711463571
Det skal ikke så mye «brute force» som man skulle tro når metoden for krypteringen er funnet. Mange av passordene kan bli funnet påkort tid ved å bruke permuteringslister basert på lister av passord som har vært brukt.
Bruk et av flere verktøy som mates med en lang liste av passord, og i løpet av kort tid vil programmet finne passordet til mange av brukerne.
Bruk av passord med minst 10 tilfeldige tall og bokstaver beskytter ganske godt mot denne metoden hvis innloggingsdata kommer på avveie.
Ethvert passord som du ikke finner i noen liste er godt nok. Det gir ingen særskilt beskyttelse å bruke kryptiske, vanskelige-å-huske tegnsekvenser uten mening.
Du behøver ikke (og det er fåfengt uansett) fortelle brukerne dine at de må velge passord som 1z&p%pd99=. Det er minst like sikkert å bruke f.eks. kardemommevalp eller hundemarmelade – en sammensetning av to eller tre ledd som overhodet ikke har noe med hverandre å gjøre. Det vil ikke finnes i noen ordliste, og det blir så langt at noen bruteforcing er helt håpløst.
Selv bruker jeg alltid tre ledd: For første ledd har jeg bare tre-fire valg; det avhenger av sikkerhetsnivå (som ‘vanilje’ for leserkommentarer, ‘kajenne’ for nettbanken!). Andre ledd er bestemt av tjeneste/nettsted, med en omskriving: ‘NRKbeta’ kunne bli ‘NRKprøve’. Tredje leddet er helt personlig, et navn i slekta som ikke har vært brukt på snart hundre år, og det er faktisk felles for alle mine passord. Det hjelper deg null og niks å vite at mine 15-20 tegn lange passord (/krypteringsnøkler) er bygget opp på denne måten, og likevel husker jeg dem uten å måtte skrive dem ned. Alltid når jeg blir tildelt et passord som ser ut som linjestøy må jeg skrive det ned, og det er en svært så alvorlig sikkrehets-trussel!
Til Rudde:
Hvis du kan angi klare og entydige kriterier for hva som er hashing men ikke kryptering, alle andre metoder er «egentlig» kryptering men ikke hashing (dvs. at disse to gruppene er ikke-overlappende men dekker alle medtoder), da vil jeg gjerne se de krtiteriene! Jeg er uerbødig nok tro at det kunne bli «noe» diskusjon rundt dem!
Når du sier «kryptert», mener du da faktisk kryptert, eller mener du hashet?
Det kommer ikke fram om brukerkonti til Box også ble hacka…
Det finnes en tofaktor-innlogging som kalles Clef Wave. Den virker enkel. Men kan den regnes om en like trygg tofaktor-innlogging som de andre som er nevnt?