La semana pasada Dropbox empezó a pedir a aquellos usuarios que usan su aplicación desde antes de 2012 que modifiquen su contraseña, una medida preventiva que, según indicaron entonces, no tenía nada que ver con que nuestros credenciales hubieran sido robados o con que se hubiera producido ningún tipo de acceso no autorizado.
Pues bien, cinco días después de ese comunicado y tal y como ha informado el medio especializado Motherboard, la aplicación ha vuelto a ser hackeada. Una acción que ha filtrado los datos personales de más de 68 millones de usuarios de la plataforma. Pero, ¿cómo ha ocurrido exactamente?
El hackeo de Dropbox
De esta manera, parece que estas cuentas se han visto comprometidas como consecuencia de un fallo acontecido, precisamente, en 2012. Un error que, de acuerdo con la citada publicación ha afectado a 68.680.741 usuarios. Una cifra nada desdeñable que hace saltar todas las alertas.
De los 60 millones de contraseñas de usuario, alrededor de 32 son seguras gracias a la función de hashing bcrypt. No obstante, las 36 restantes tienen un hash SHA1 que no es tan seguro, aunque Dropbox añadió un cifrado adicional. Según Motherboard, este paquete de contraseñas no parece ser vulnerable.
TechCrunch, por otra parte, dice que los hackers habrían accedido a la red corporativa de Dropbox a través de la contraseña de un empleado de la entidad. El mismo cifrado que, por cierto, este utilizaría en LinkedIn, recientemente comprometida.
Otras filtraciones
Por otra parte, cabe mencionar que esta filtración no es única en su especie sino que ya en 2014 la plataforma dio a conocer que los datos de acceso de hasta 7 millones de personas podrían haberse visto comprometidos. Un caso que si bien inicialmente se atribuyó a un hackeo de la plataforma, finalmente acabó explicando Dropbox, asegurando que las cuentas publicadas habían sido obtenidos por un servicio de terceros.
Ese mismo año, por otra parte, el mismísimo Snowden llegó a afirmar que, de usarla, estaríamos poniendo en peligro nuestra privacidad. “Es un socio de PRISM, lo que lo convierte en un sitio muy hostil para la privacidad", comentó entonces. Unas acusaciones ante las que la empresa no tardó en defenderse (asegurando que no tenía ningún tipo de compromiso con PRISM), pero que ha quedado grabada en la memoria de muchos.
En 2012, asimismo, encontramos otro caso flagrante para la empresa de almacenamiento en la nube: una brecha de seguridad permitió que los usuarios recibieran SPAM a través de las cuentas que empleaban para el servicio. Unos correos basura que algunos clientes de la entidad se encargaron de reportar inicialmente en el hilo de los foros de la comunidad y de anunciar a plena voz en redes sociales.
En Genbeta | 11 complementos para supervitaminar Dropbox
Ver 14 comentarios
14 comentarios
carl ms
El artículo esta mal explicado... En realidad las cuentas filtradas son las que se hackearon en 2012. Si te registraste despues del 2012 no tienes problema.
juanmcm
Yo la nube ya lo menos posible...
Tenía un servicio conocido como Wuala y que me atraía bastante, era gratis y si bien tenía 5 Gb de capacidad y no era gran cosa, la seguridad que aportaba era muy superior a lo que ofrecen otros servicios.
Ahora está otro (también en Suiza) llamado TresorIt pero ni idea de si tiene versiones gratuitas.
No me fio en exceso de Dropbox, lo mismo de Box y de Google Drive aún menos.
Espero que quien use este tipo de servicios y lo haga por 'seguridad' o por 'privacidad' tenga alguna idea de que servicio le puede convenir y si no le compensa tener su propio NAS (o al menos un HDD externo) en su hogar o en un sitio que no peligre en exceso la información ahí dentro.
daniem
Seguramente no tiene nada que ver, pero lo dejo caer. El otro día le pasé un zip a un amigo por Dropbox con un ejecutable que hice en Unity. El caso es que le saltó un aviso del antivirus, el archivo contenía el troyano maltule.C!c. Extrañado, le paso un antivirus y un antimalware a mi equipo y nada. El ejecutable de mi ordenador estaba limpio. Me da por bajarme el zip de Dropbox y me salta el antivirus a mí también. Total, borré el archivo y no quise saber nada más de él, se me hizo muy raro y pensé que era un falso positivo del antivirus. Por eso, cuando he leído lo de Dropbox, me he acordado de aquello y me he preocupado bastante.
cpcbegin
¿Una táctica para quitarse de enmedio las cuentas de dropbox vinculadas a correos que ya no están operativos y no poder acceder nunca más a tus cosas?
Tener tus muebles en casa ajena es una mala idea.
rayban71
O sea que toca cambiar de contraseña...
kikke
La imagen de dropbox está quedando muy mal, la cantidad de clientes que debe estar perdiendo por miedo a que sus archivos se vean comprometidos debe ser enorme. En lo personal uso dropbox para guardar y compartir cosas sin mucha importancia, para el resto uso Box y Google Drive.
Ojala y las personas por los últimos hackeos de varios servicios online empiecen a utilizar la verificación en dos pasos, para así quitarse dolores de cabeza.
lordcoder_teamreis
Esperemos que nunca pongan SHA256 o Scrypt, entonces si que habría problemas por el tema ASIC y demás producidos por las criptomonedas. Ahí si que habría problema.
Aún así, los hashes con un rig de unas 10 tarjetas gráficas pueden crackear cualquier contraseña tarde o temprano.