La semana pasada, Dropbox avisó a los usuarios con cuentas creadas en el 2012 o antes que debían cambiar sus contraseñas.
Debido a una acción de hackeo hecha hace unos cuatro años, 68 millones de cuentas fueron comprometidas y solamente ahora se entiende el alcance del ataque.
Relacionado: El portal Infowars fue hackeado hace 2 años, pero nos enteramos ahora
Dropbox estuvo al tanto del ataque original, según reporta Motherboard, pero no se tenía claro qué escala había alcanzado.
El sitio afirma que obtuvo una copia de 5GB con la información de las cuentas comprometidas, entre ellos contraseñas y correos electrónicos de 68 millones de cuentas.
Un empleado senior de la empresa verificó la autenticidad de la información.
Al mismo tiempo, Troy Hunt, el profesional en seguridad de haveibeenpwned.com, respaldó la información. Escribió que esta base de datos no es una colección de credenciales que funcionan en Dropbox, sino el resultado de las acciones de un hacker.
“No hay duda de que la información contiene contraseñas legítimas de Dropbox y no se puede simplemente fabricar una cosa como esta”, afirma. Sin embargo añade que Dropbox está manejando muy bien la situación ya que está obligando a los usuarios a cambiar sus contraseñas.
El Jefe de Seguridad de Dropbox, Patrick Heim, afirma que todos los usuarios que han sido afectados fueron notificados.
Afirma que es una medida preventiva, pero no había especificado cuántas contraseñas habían sido rehabilitadas por la empresa.
Fue después que la empresa confirmó que habrían sido unas 60 millones.
Heim le advirtió a los usuarios que cambiaran las contraseñas en otros sitio si habían utilizado sus credenciales de Dropbox, aún si tenían el paso de doble verificación.
La compañía comentó que no había evidencia de que hubiera actividad maliciosa en las cuentas afectadas.
Las contraseñas que fueron robadas fueron cambiadas en función hash para prevenir que fueran reveladas al atacante. Sin embargo, esa acción no se completó de la misma forma en todas las contraseñas.
Se reporta que hubo 32 millones de los 68 millones de contraseñas que fueron cambiadas a función hash por medio de bcrypt, lo cual es considerado fuerte. Pero el resto, se hicieron con SHA-1, y se ponen obsoletas de forma gradual y por lo tanto, serían más fáciles de acceder.
Relacionado: ¡Alerta! Tú podrás activar Safety Check en Facebook
Si eres usuario de Dropbox y abriste tu cuenta en el 2012 o antes, deberías haber recibido una contraseña para restaurar tu contraseña.
Si no lo recibiste, de todas formas deberías cambiarla y para asegurarte de que todo está bajo control, deberías también cambiar las contraseñas que usas para otros sitios web si se trata de la misma de Dropbox.
