Durante esta semana un
número no concreto de usuarios de Dropbox
han recibido una notificación
del servicio indicando que deberán
cambiar su contraseña. Una medida que la compañía ha establecido como "medida preventiva".
¿Ha sido Dropbox
hackeado?
Esta noticia y la suspicacia han hecho que se
dé la voz de alarma de manera prematura, alertando de una posible brecha en
Dropbox. La razón de este alboroto, al margen de las notificaciones recibidas
por los usuarios, ha sido la publicación en ciertos sitios de los detalles de
más de 60 millones de cuentas.
La causa probable es que los detalles de esas
cuentas son el resultado de un filtrado del incidente ocurrido a mediados de
2012 y del que trascendieron pocos detalles.
De manera oficial, según
el blog de Dropbox, la versión de lo
ocurrido entonces se basa en tres hechos:
- Algunos usuarios de Dropbox notificaron a la empresa que estaban recibiendo spam en cuentas de correo que usaban exclusivamente para operar con Dropbox.
- Que de una investigación interna, Dropbox, encontró que en un "número reducido" de cuentas se había producido un inicio de sesión y que las credenciales usadas habrían sido "robadas de otros sitios web" y reutilizadas para abrir sesiones en Dropbox.
- Admitieron que las credenciales de un empleado de Dropbox habían sido comprometidas y usadas. En dicha cuenta los atacantes pudieron obtener un documento de un proyecto que contenía cuentas de correo de usuarios de Dropbox.
A la luz del gran número de cuentas
(recordemos, más de 60 millones) y
de las explicaciones recibidas entonces hay detalles que como poco resultan
curiosos de contrastar.
El más notable sin duda es que 60 millones de
cuentas no es un número reducido, incluso para un servicio que pueda tener
varios órdenes más de usuarios. Otro detalle llamativo es que no solo es
información de la cuenta, correo electrónico, etc. Los archivos contienen
hashes, incluso pueden derivarse dos tipos de hashes, los producidos por bcrypt
y SHA-1, lo que hace pensar que hubo un cambio en la forma en que almacenaban
los hashes anterior a la extracción.
Admitir que Dropbox ha sido hackeada no es
posible, pero que la filtración fue
muchísimo más grave que la admitida entonces es evidente.
¿Qué hacemos?
En la entrada del blog de Dropbox indican que
si el usuario no ha cambiado de contraseña desde el 2012 (que ya de por sí es
una mala práctica) ha de hacerlo.
Adicionalmente avisan de otro mal conocido
dentro de las malas prácticas: reutilizar esa misma contraseña en sitios
diferentes. Justo a la inversa de la declaración que hicieron en 2012, en la
que se referían a que ciertas cuentas habían experimentado un inicio de sesión
no legítimo usando credenciales "robadas
de otros sitios".
Por supuesto otro consejo que dan, y
secundamos desde aquí, es la activación del segundo factor de autenticación,
algo que debería ser un opt-out en vez de lo contrario en todo servicio que
implemente este mecanismo.
Si necesitas saber si tu cuenta de Dropbox
estaba incluida en la filtración puedes consultarlo en sitios como: https://haveibeenpwned.com/
Más información:
Security update and new features
Resetting passwords to keep your files safe
Dropbox Forces Password Resets After User
Credentials Exposed
Hackers Stole Account Details for Over 60
Million Dropbox Users
David García
