Wachtwoorden van 69 miljoen Dropbox gebruikers gestolen

Dropbox is in 2012 doelwit geweest van een cyberaanval. Tot nu toe werd aangenomen dat hierbij alleen e-mailadressen van gebruikers zijn buitgemaakt. Nu blijkt ook dat de wachtwoorden van ongeveer 69 miljoen gebruikers zijn gestolen.

Anonieme bronnen binnen Dropbox bevestigen de diefstal van wachtwoorden tegenover zowel TechCrunch als Motherboard. Dropbox meldde onlangs alle wachtwoorden van gebruikers die sinds 2012 niet meer zijn gewijzigd te hebben gereset. Hierbij verwees het bedrijf al naar de cyberaanval in 2012, maar meldde hierbij niet dat ook wachtwoorden van gebruikers zijn buitgemaakt. Dit blijkt nu dus wel het geval te zijn.

Van de 69 miljoen wachtwoorden die zijn buitgemaakt zijn 32 miljoen wachtwoorden beveiligd met het algoritme bcrypt. De overige wachtwoorden zijn voorzien van een hash van SHA-1, wat wordt gezien als een minder veilig algoritme. Alle wachtwoorden zijn daarnaast ook voorzien van een salt, waarbij willekeurige bits aan het wachtwoord wordt toegevoegd. Het is niet bekend of cybercriminelen er inmiddels in zijn geslaagd de wachtwoorden te ontcijferen. Tot nu toe is de database met wachtwoorden nog niet aangetroffen op grote ondergrondse marktplaatsen voor gestolen data.

Verklaring Dropbox

Patrick Heim, Head of Trust & Security bij Dropbox, zegt in een verklaring:

“This is not a new security incident, and there is no indication that Dropbox user accounts have been improperly accessed. Our analysis confirms that the credentials are user email addresses with hashed and salted passwords that were obtained prior to mid-2012. We can confirm that the scope of the password reset we completed last week did protect all impacted users. Even if these passwords are cracked, the password reset means they can’t be used to access Dropbox accounts. The reset only affects users who signed up for Dropbox prior to mid-2012 and hadn’t changed their password since. 

While Dropbox accounts are protected, affected users who may have reused their password on other sites should take steps to protect themselves on those sites. The best way to do this is byupdating these passwords, making them strong and unique, and enabling two-step verification. Individuals who received a notification from Dropbox should also be alert to spam or phishing.”