miércoles, 31 de agosto de 2016

Dropbox ¿hackeado?

Durante esta semana un número no concreto de usuarios de Dropbox han recibido una notificación del servicio indicando que deberán cambiar su contraseña. Una medida que la compañía ha establecido como "medida preventiva".

¿Ha sido Dropbox hackeado?

Esta noticia y la suspicacia han hecho que se dé la voz de alarma de manera prematura, alertando de una posible brecha en Dropbox. La razón de este alboroto, al margen de las notificaciones recibidas por los usuarios, ha sido la publicación en ciertos sitios de los detalles de más de 60 millones de cuentas.

La causa probable es que los detalles de esas cuentas son el resultado de un filtrado del incidente ocurrido a mediados de 2012 y del que trascendieron pocos detalles.

De manera oficial, según el blog de Dropbox, la versión de lo ocurrido entonces se basa en tres hechos:

  • Algunos usuarios de Dropbox notificaron a la empresa que estaban recibiendo spam en cuentas de correo que usaban exclusivamente para operar con Dropbox.
          
  • Que de una investigación interna, Dropbox, encontró que en un "número reducido" de cuentas se había producido un inicio de sesión y que las credenciales usadas habrían sido "robadas de otros sitios web" y reutilizadas para abrir sesiones en Dropbox.
         
  • Admitieron que las credenciales de un empleado de Dropbox habían sido comprometidas y usadas. En dicha cuenta los atacantes pudieron obtener un documento de un proyecto que contenía cuentas de correo de usuarios de Dropbox.

A la luz del gran número de cuentas (recordemos, más de 60 millones) y de las explicaciones recibidas entonces hay detalles que como poco resultan curiosos de contrastar.

El más notable sin duda es que 60 millones de cuentas no es un número reducido, incluso para un servicio que pueda tener varios órdenes más de usuarios. Otro detalle llamativo es que no solo es información de la cuenta, correo electrónico, etc. Los archivos contienen hashes, incluso pueden derivarse dos tipos de hashes, los producidos por bcrypt y SHA-1, lo que hace pensar que hubo un cambio en la forma en que almacenaban los hashes anterior a la extracción.

Admitir que Dropbox ha sido hackeada no es posible, pero que la filtración fue muchísimo más grave que la admitida entonces es evidente.


¿Qué hacemos?

En la entrada del blog de Dropbox indican que si el usuario no ha cambiado de contraseña desde el 2012 (que ya de por sí es una mala práctica) ha de hacerlo.

Adicionalmente avisan de otro mal conocido dentro de las malas prácticas: reutilizar esa misma contraseña en sitios diferentes. Justo a la inversa de la declaración que hicieron en 2012, en la que se referían a que ciertas cuentas habían experimentado un inicio de sesión no legítimo usando credenciales "robadas de otros sitios".

Por supuesto otro consejo que dan, y secundamos desde aquí, es la activación del segundo factor de autenticación, algo que debería ser un opt-out en vez de lo contrario en todo servicio que implemente este mecanismo.

Si necesitas saber si tu cuenta de Dropbox estaba incluida en la filtración puedes consultarlo en sitios como: https://haveibeenpwned.com/

Más información:

Security update and new features

Resetting passwords to keep your files safe

Dropbox Forces Password Resets After User Credentials Exposed

Hackers Stole Account Details for Over 60 Million Dropbox Users



David García
Twitter: @dgn1729

No hay comentarios:

Publicar un comentario en la entrada