Êtes-vous l'un des 69 millions d'utilisateurs Dropbox piratés?

Publicité

À ce jour, vous avez probablement entendu la phrase «un autre jour, un autre piratage» plus de fois que vous le voudriez dans une vie, mais c'est le temps d'ajouter un autre à la liste car il est apparu qu'un nombre impressionnant de 68 millions de comptes Dropbox ont potentiellement été compromis.

Vous vous souvenez peut-être qu'en 2012, il y avait des spéculations selon lesquelles Dropbox avait été piraté. À l'époque, Dropbox a nié avoir pris autre chose qu'un «document de projet avec les adresses e-mail des utilisateurs».

En août 2016, il a été confirmé que plus de 68 millions de comptes d'utilisateurs sur Dropboxthat qui avait été créé avant la mi-2012 ont apparemment été divulgués en ligne avec leurs mots de passe associés.

Au moment de la rédaction de ce rapport, on ne sait toujours pas comment ni pourquoi les informations divulguées ont mis quatre ans à apparaître, mais maintenant qu'elles a, Dropbox a pris la précaution d'envoyer un e-mail aux comptes qu'ils pensent être affectés et de demander un mot de passe réinitialiser.

Ce que nous savons

En 2012, Dropbox a annoncé que certaines données utilisateur avaient été volées à la suite de la réutilisation d'un mot de passe par un employé sur un système interne qu'il avait précédemment utilisé sur LinkedIn - qui lui-même était soumis à une violation de données en 2012 Ce que vous devez savoir sur la fuite massive de comptes LinkedInUn pirate vend 117 millions d'informations d'identification piratées sur le Dark Web pour environ 2200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est en danger. Lire la suite .

À l'époque, Dropbox a déclaré que le pirate n'avait accédé qu'à un document de projet contenant les adresses e-mail des clients. Cela a conduit à un grand volume de spam destiné aux utilisateurs de Dropbox et, par conséquent, à Dropbox étudier et ajouter des fonctionnalités de sécurité supplémentaires.

Certainement * pas * une notification de violation de dropbox. Juste…. Euh….. bonne hygiène des mots de passe….. pic.twitter.com/IxoFpdCKIC

- Marc Rogers (@marcwrogers) 27 août 2016

Tous se sont tus sur la fuite de Dropbox jusqu'à la mi-août 2016, lorsque Dropbox a commencé à envoyer des e-mails indiquant que les clients qui n'ont pas changé de mot de passe depuis la mi-2012 seront invités à s'identifier. Cependant, il n'y avait aucune mention explicite d'un piratage ou d'une fuite et Dropbox n'a pas signalé le nombre d'utilisateurs auxquels ils avaient envoyé cet e-mail.

Peu de temps après l'envoi de ces e-mails, Carte mère a reçu environ 5 Go de données qui semblaient contenir les adresses e-mail et les mots de passe cryptés de près de 69 millions d'utilisateurs de Dropbox. En 2012, lorsque le piratage a eu lieu, Dropbox venait d'atteindre 100 millions d'utilisateurs cette fuite représente donc plus des deux tiers de leur base d'utilisateurs à l'époque.

Troy Hunt, fondateur du site Web Ai-je été pwned (HIBP), a confirmé la légitimité du hack en trouvant ses informations d'identification et celles de sa femme dans les données. Il a ensuite informé les 114 136 abonnés HIBP qui avaient été touchés par la fuite.

Dropbox a publié une déclaration confirmant que les données contenues dans la fuite provenaient de la violation de 2012 et que le mot de passe était réinitialisé «protect [ed] tous les utilisateurs concernés… La réinitialisation n'affecte que les utilisateurs [ed] qui se sont inscrits à Dropbox avant la mi-2012 et n'ont pas changé de mot de passe depuis. » Ils a également indiqué que les actions qu'ils avaient prises «protégeaient tous les comptes concernés et que [leurs] renseignements montraient que c'était dans les 60 millions et plus intervalle."

Après avoir contacté Dropbox pour vérifier l'étendue de la violation, nous avons été informés qu '«[ils] n'ont aucune preuve d'un accès incorrect à ces comptes», ce qui rassure les utilisateurs concernés.

Le Hack - À quel point est-ce mauvais?

Toute violation de données est une mauvaise nouvelle et la publication potentielle des adresses e-mail et des mots de passe des utilisateurs sur Internet est terrible en soi.

Cependant, une lueur d'espoir dans le hack Dropbox vient de leur cryptage des mots de passe. Malgré leur sécurité de mot de passe interne apparemment laxiste au moment du piratage, Dropbox avait en fait commencé à prendre étapes pour améliorer la sécurité de leur mot de passe en chiffrant toutes les données avec bcrypt, l'un des hachages les plus sécurisés algorithmes.

Cependant, notez que seulement (environ) la moitié des mots de passe ont été déplacés vers bcrypt au moment du piratage, les 34 millions restants étant cryptés à l'aide de SHA-1, une méthode de cryptage moins sécurisée. Tout n'est pas perdu non plus pour ces mots de passe, car Dropbox avait salé les mots de passe SHA-1, ajoutant une chaîne de texte aléatoire pour rendre les mots de passe plus difficiles à déchiffrer.

Cette protection peut empêcher tout type néfaste de pouvoir décrypter les mots de passe, mais cela ne doit pas être pris avec certitude, et vous devez absolument prendre des mesures pour vous protéger contre le piratage, et faire un vérifiez votre propre sécurité Protégez-vous avec un contrôle annuel de sécurité et de confidentialitéNous sommes près de deux mois dans la nouvelle année, mais il est encore temps de prendre une résolution positive. Oubliez de boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lire la suite pour assurer votre sécurité en ligne à l'avenir.

Changer votre mot de passe Dropbox

Bien que Dropbox ait déjà effectué la réinitialisation du mot de passe pour les comptes concernés, la réinitialisation de votre mot de passe est un exercice utile, surtout si vous n'avez pas changé de mot de passe depuis un certain temps.

Sécurité du compte Dropbox

Dropbox contient certains paramètres de sécurité qui peuvent vous aider à protéger votre compte. L'authentification à deux facteurs (2FA) peut être activée dans les paramètres de votre compte. Une fois que vous avez entré votre numéro de téléphone, Dropbox vous enverra ensuite un code unique limité dans le temps par SMS que vous devrez saisir lorsque vous tenterez de vous connecter.

Vous pouvez également voir quels appareils ont été autorisés à accéder à votre compte, via l'application mobile ou de bureau Dropbox. Les sessions afficheront les navigateurs connectés à votre compte Dropbox.

Si vous ne reconnaissez aucune des sessions ou des appareils, vous pouvez cliquer sur le X sur le côté droit pour les supprimer et supprimer l'accès à votre compte. Si vous voulez être minutieux, même si vous ne remarquez rien de suspect, vous pouvez supprimer toutes les sessions et tous les appareils et simplement vous reconnecter aux applications sur les appareils que vous utilisez.

Activer 2FA partout

La plupart des principaux sites prennent en charge l'authentification à deux facteurs et il est l'un des meilleurs moyens de se protéger Verrouillez ces services maintenant avec une authentification à deux facteursL'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lire la suite en cas de piratage. Sans accès à vous ou à votre téléphone, le pirate ne pourra pas se connecter à votre compte.

Si vous n'êtes pas sûr qu'un site Web que vous utilisez prend en charge l'authentification à deux facteurs, vous pouvez vérifier à l'aide de Authentification à deux facteurs, qui gère une base de données de tous les sites pris en charge.

Modifier tous les mots de passe réutilisés

L'une des principales raisons pour lesquelles les fuites de mots de passe sont de si mauvaises nouvelles est que de nombreuses personnes recyclent souvent les mots de passe entre les sites.

Dropbox reconnaît même ce problème, déclarant "Bien que les comptes Dropbox soient protégés, les utilisateurs concernés qui ont peut-être réutilisé leur mot de passe sur d'autres sites doivent prendre des mesures pour se protéger sur ces sites."

Après avoir activé 2FA, la meilleure action préventive que vous pouvez prendre est de vous assurer que vous utilisez un mot de passe unique et fort sur chaque site. Cela comprend la vérification et la vérification que vous n'avez pas réutilisé votre mot de passe Dropbox sur d'autres comptes.

Utilisez un gestionnaire de mots de passe

L'une des principales raisons pour lesquelles nous réutilisons les mots de passe est qu'il est souvent trop difficile de les mémoriser tous. Heureusement, les gestionnaires de mots de passe sont venus sur les lieux Vous devez commencer à utiliser un gestionnaire de mots de passe dès maintenantÀ l'heure actuelle, tout le monde devrait utiliser un gestionnaire de mots de passe. En fait, ne pas utiliser de gestionnaire de mots de passe vous expose à un risque accru de piratage! Lire la suite pour vous aider à gérer votre longue liste de mots de passe.

Bien que chaque gestionnaire de mots de passe diffère légèrement, ils stockent tous vos mots de passe, certains offrant des fonctionnalités supplémentaires comme génération sécurisée de mots de passe Créez des mots de passe forts avec ces 4 applications Android incroyablesIl peut être difficile de trouver des mots de passe forts et mémorables - alors laissez une application le faire pour vous! Lire la suite et la capacité de changez vos mots de passe automatiquement Comment changer automatiquement les mots de passe avec les nouvelles fonctionnalités LastPass et DashlaneTous les quelques mois, nous entendons parler d'une nouvelle faille de sécurité qui vous oblige à changer votre mot de passe. C'est fastidieux, mais maintenant les applications de gestion de mot de passe ajoutent des outils pour automatiser cette tâche, vous faisant gagner du temps. Lire la suite .

Lastpass Security Challenge

LastPass est l'un des principaux gestionnaires de mots de passe et possède un Outil de défi de sécurité Maîtrisez vos mots de passe pour de bon avec le défi de sécurité de LastpassNous passons tellement de temps en ligne, avec autant de comptes, que se souvenir des mots de passe peut être très difficile. Préoccupé par les risques? Découvrez comment utiliser le défi de sécurité de LastPass pour améliorer votre hygiène de sécurité. Lire la suite . Si vous importez vos données dans LastPass, il analysera tous vos mots de passe et les évaluera sur leur force et vous alerter si le compte a été impliqué dans une fuite, ou si vous avez utilisé le même mot de passe sur d'autres sites. Vous pouvez ensuite modifier les mots de passe faibles ou affectés à partir de la page Scorecard.

HaveIBeenPwnd

Nous avons mentionné que Troy Hunt, fondateur de Ai-je été Pwnd a été l'un des premiers à confirmer la fuite de Dropbox en vérifiant les détails de lui et de sa femme dans les données. Il a ensuite envoyé des e-mails à tous les abonnés concernés de HIBP.

L'inscription ne coûte rien et il vous suffit de saisir votre adresse e-mail et si Hunt arrive les données que votre compte a été présenté dans une fuite, le service HIBP vous enverra un e-mail d'alerte tu. Il n'y a aucun inconvénient à ce service, et c'est l'un des meilleurs moyens de rester au courant de toute nouvelle fuite.

Dropbox n'est pas le premier… et ce ne sera pas le dernier

Les hacks, les violations de données et les fuites de mots de passe font désormais partie de la vie numérique en 2016. Il y a eu des hacks de haut niveau sur des sites comme LinkedIn et l'infâme Ashley Madison Ashley Madison n'a pas de grosse affaire? Détrompez-vousLe site de rencontres en ligne discret Ashley Madison (destiné principalement aux conjoints tricheurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, avec des implications considérables pour la sécurité des utilisateurs. Lire la suite avec d'innombrables autres.

Le meilleur conseil est de vous assurer de prendre étapes proactives Protégez-vous avec un contrôle annuel de sécurité et de confidentialitéNous sommes près de deux mois dans la nouvelle année, mais il est encore temps de prendre une résolution positive. Oubliez de boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lire la suite pour sécuriser vos comptes et votre identité numérique, afin que lorsque l'inévitable se produit et qu'un autre site soit piraté et que les mots de passe soient exposés, vous bénéficiez de la meilleure protection disponible.

Crédit d'image: Raxpixel.com via Shutterstock, welcomia via Shutterstock.com