DATAANGREP

Dropbox løy om kjempeinnbrudd. Ble frastjålet 68 millioner kontoer

– Dette kan fort bli en tøff ryddejobb også for norske bedrifter, mener norsk ekspert.

I fire år har Dropbox holdt det skjult at drøyt 68 millioner kontoer er på avveie. Store deler av lekkasjen med passord som lar seg knekke.
I fire år har Dropbox holdt det skjult at drøyt 68 millioner kontoer er på avveie. Store deler av lekkasjen med passord som lar seg knekke. Bilde: Colourbox
31. aug. 2016 - 13:47

I 2012 ble Dropbox rammet av et datainnbrudd. Først i går kom det fram hvor alvorlig denne hendelsen faktisk var. Ikke takket være nettselskapet.

Det er teknologinettstedet Motherboard som har avdekket at hackere stjal kontoopplysninger for drøyt 68 millioner brukere.

Selve innbruddet har nettlagringstjenesten tidligere "innrømmet", men uten å redegjøre for det enorme omfanget.

En av de ansattes konto var blitt kompromittert via et stjålet passord. Dropbox tonet det hele kraftig ned ved å skrive at angriperen fikk tak i et prosjektdokument med noen e-postadresser.

I virkeligheten har mange titalls millioner Dropbox-kunder vært forledet til å tro at deres kontoer ikke var berørt, viser avsløringen til Motherboard.

At dette kommer fram først over fire år senere, får sikkerhetsekspert Per Thorsheim til å gni seg i øynene.

– Dette er noe helt annet. Jeg kan ikke huske at en skylagringstjeneste har blitt hacket før. I hvert fall ikke i et slikt omfang, sier Thorsheim til digi.no.

Gammel krypto-hash

Etter innbruddet i 2012 innførte Dropbox tofaktorautentisering og tiltak for overvåking av mistenkelig aktivitet mot tjenesten. Samtidig ble et antall kunder bedt om å tilbakestille passordene sine.

Over halvparten av de stjålne kontoopplysningene, cirka 36 millioner i tallet, har passord beskyttet med SHA-1, en aldrende hash-algoritme som ikke lenger regnes som sikker.

– Lekkasjen består både av SHA1-baserte passord, som er en dårlig kryptering, mens resten bruker bcrypt, som er veldig bra. De som lagrer passord på en veldig bra måte benytter bcrypt i dag, det er standarden, forteller Thorsheim.

Har man endret passordet sitt på Dropbox etter innbruddet i 2012, er man sannsynligvis trygg.

Motherboard forklarer at lekkasjen består av fire filer på til sammen rundt 5 gigabyte. Som de hevder nå sirkulerer eller tilbys i diverse nettkanaler. De stjålne dataene skal være ekte vare. En ikke navngitt ansatt i Dropbox bekrefter dette overfor nettstedet.

Advarer mot skygge-IT

Kontoene kan i teorien ha vært kompromittert i tre-fire år, uten at kundene har merket noe, mener Per Thorsheim.

Og dette er langt verre enn at noen har fått tak i CV-en din på LinkedIn eller om Facebook-kontoen til noen er kommet på avveie, konstaterer han, før han utdyper:

– Det som gjør saken mye mer alvorlig er at her er også bedrifters filer lagret. Det kan fort bli en tøff ryddejobb. Jeg er i utgangspunktet motstander av regelmessige passordbytter, men i dette tilfellet bør de fleste bytte passord. Hvis du har hatt Dropbox-konto i noen år – skift passord nå.

Motherboard og flere andre sitter på databasen, eller deler av denne. Om dataene ikke allerede er til salgs i diverse fora, vil det bare være et spørsmål om tid før det skjer, mener Thorsheim.

Anledningen virker passende for å advare virksomheter og bedrifter om å gripe tak i utfordringen med såkalt skygge-IT.

– Fortell meg hvilken norsk bedrift eller virksomhet som ikke bruker Dropbox. Ansatte benytter gjerne tjenesten også for virksomhetens egne filer, uten at driftsavdelingen vet om det, altså type skygge-IT, sier Thorsheim.

– Ingen bevis på ondsinnet misbruk

Dropbox har overfor Motherboard bekreftet lekkasjen. De hevder at en proaktiv tilbakestilling av passord, som ble innført for bare seks dager siden, dekker alle brukere som «potensielt er berørt» av lekkasjen fra 2012.

Dette blir beskrevet som et forebyggende tiltak. De med kontoer som ble registert før medio 2012, som ikke har skiftet passord siden, vil bli bedt om å endre passordet ved neste innlogging.

En talsperson fra selskapet sier at Dropbox «ikke har sett bevis på ondsinnet misbruk» som følge av lekkasjen. Dette til tross for at de tidligere har vedkjent seg at stjålne e-postadresser faktisk er blitt misbrukt til spam.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Jobbsøknad: Slik skiller du deg ut i den store bunken
Les mer
Jobbsøknad: Slik skiller du deg ut i den store bunken
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra