Szerző: Hlács Ferenc

2016. augusztus 31. 15:44

68 millióra rúg a Dropbox-adatlopás áldozatainak száma

A vártnál jóval kiterjedtebb volt a nemrég nyilvánosságra hozott 2012-es Dropbox-adatlopás: a cég mintegy 68 millió felhasználójának információit szerezték meg támadók. Az információk felét ráadásul csak gyenge titkosítás védi.

Jelentősen több felhasználót érint a Dropboxot ért, négy évvel ezelőtti adatlopás, mint az a vállalat korábbi kommunikációja alapján várható volt. Noha az incidens 2012-ben történt, a vállalat annak részleteit csak a napokban hozta nyilvánosságra, miután a feltehetően a négy évvel ezelőtti támadás során megszerzett bejelentkezési adatok nemrég online kiszivárogtak. A Dropbox az érintettekkel új jelszavakat állíttatott be, ugyanakkor azt nem árulta el, pontosan hány felhasználó adatai kerültek veszélybe.

A nyilvánosságra került információkhoz a Motherboard is hozzájutott, a lap négy, összesen 5 gigabájt méretű fájlt vizsgált meg, amelyekben több mint 68 millió felhasználó adataira bukkantak - utóbbit eredetiségét az oldal szerint egy meg nem nevezett, vezető beosztású Dropbox alkalmazott is megerősítette. A weboldal a szerzett információkat a felhasználókat a hasonló támadásokra figyelmeztető Leakbase számára is eljuttatta - mint kiderült a szolgáltatás felhasználói szép számmal érintettek az adatszivárgásban.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x)

Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

Az AWS céges kultúrájával frissít a Deutsche Telekom IT Solutions (x) Nagy belső változáson megy keresztül a közel 5000 magyarországi alkalmazottal rendelkező cég.

A belépési adatok közel felével egyébként az ismeretlen támadók valószínűleg nem is tudnak mit kezdeni, a mintegy 32 millió profilra vonatkozó információra ugyanis a Dropbox a bcrypt névre hallgató, erős hash algoritmussal vigyáz. A maradékot ugyanakkor már az egyre gyengébb lábakon álló SHA-1 védi - utóbbi kapcsán biztonsági szakértők már egy évvel ezelőtt is a támogatás megvonását kérték, a megoldás lényegében bármikor törhetővé válhat.

A Dropbox szerint a múlt héten eszközölt jelszó visszaállítás az online tárhely minden, az ügyben potenciálisan érintett felhasználója esetében semlegesíti az adatlopás veszélyeit - ugyanakkor azok, akik dropboxos jelszavukat valamilyen más szolgáltatás felületén is használták, jól teszik, ha a régi azonosítótól végleg elbúcsúznak, és lehetőleg minden online felületen egyedi jelszót állítanak be. Erre kiváló megoldás lehet valamilyen jelszókezelő app, például a LastPass alkalmazása. Érdemes továbbá feliratkozni valamilyen támadásjelző szolgáltatásra is, mint a fentebb említett Leakbase vagy a Have I Been Pwned, amelyek emailben figyelmeztetik a felhasználókat, ha adataik feltűnnek valamilyen hasonló adatlopás során.

Az online tárhely egyik szóvivője szerint nem találtak rá bizonyítékot, hogy a kiszivárgott adatokat bárki rosszindulatú céllal felhasználta volna, illetve a nagy mennyiségű felhasználói adat az online feketekereskedelem főbb piacterein sem tűnt fel. A támadás kiindulópontja nagy valószínűséggel a cég egyik figyelmetlen alkalmazottja volt, aki több felületen is azonos jelszót használt, belépési adatait a támadók pedig egy korábbi, a LinkedInt célzó támadás során szerezték meg. A cég azóta kötelező jelleggel bevezette a jelszókezelő használatát, illetve a kétfaktoros beléptetést minden belső rendszerén.

2021. október 25-én 8 alkalmas, 24 órás online képzést indít a HWSW, mely a világ legnagyobb felhős platformjába nyújt alapos bevezetést, gyakorlatorientált keretek kötött.

a címlapról

feketelista

9

Tovább bombázzák a Honort

2021. október 15. 13:33

Republikánus képviselők szerint a gyártót egyértelműen feketelistára kell tenni.

Hirdetés

Ráléptünk a gázra!

2021. október 17. 23:19

Dübörög a HWSW free! meetupsorozat, októberben modern webfejlesztés és CI/CD témákkal jövünk, de indulnak új online képzéseink is, melyek az AWS, a Kubernetes security, és a microservice architektúra alapjaiba nyújtanak betekintést.