De bijna 69 miljoen Dropbox-gebruikers waarvan hun inloggegevens tijdens een hack zijn buitgemaakt, zijn veilig. Dat meldt Patrick Heim, hoofd security bij Dropbox, in een verklaring naar aanleiding van de berichtgeving over deze hack uit 2012. Hij meent dat dit komt doordat deze gebruikers via een e-mail zijn gevraagd om hun wachtwoord te wijzigen. Hierdoor zijn de gestolen wachtwoorden niet meer bruikbaar door cybercriminelen.
Vanmorgen meldde Computable dat er tijdens een Dropbox-hack inloggegevens buit zijn gemaakt van bijna 69 miljoen gebruikers. ‘Het gaat hierbij niet om een nieuw security-incident, maar om een hack die in de eerste helft van 2012 heeft plaatsgevonden. Uit onze analyses blijkt dat e-mailadressen en zogenaamde ‘hashed’ en ‘salted’ wachtwoorden zijn buitgemaakt.’ Dat schrijft Patrick Heim in een verklaring.
Heim benadrukt dat de potentiële slachtoffers per e-mail zijn verzocht om hun wachtwoord te wijzigen. Het betreft gebruikers die voor midden 2012 een account hebben aangemaakt en sindsdien hun wachtwoord niet meer hebben gewijzigd. Deze oproep heeft er volgens hem aan bijgedragen dat alle gebruikers veilig zijn.
‘De wachtwoorden zijn versleuteld opgeslagen. Het kan zijn dat hackers deze hebben gekraakt. Dat wil nog niet zeggen dat zij hiermee toegang krijgen tot de accounts. Dit doordat de wachtwoorden gereset zijn.’ Dropbox meent dat er geen frauduleus gebruik bij deze accounts heeft plaatsgevonden.
Wanneer gebruikers dit Dropbox-wachtwoord ook op andere websites hebben gebruikt, adviseert Heim om hier ook het wachtwoord te wijzigingen. ‘Gebruikers kunnen het beste hun wachtwoorden updaten. Hierbij kan het beste een sterk en uniek wachtwoord gekozen worden.’
Om een vals gevoel van veiligheid te voorkomen, misschien niet half suggereren dat mensen veilig zijn zodra ze hun wachtwoord veranderen: de laatste paragraaf uit het artikel is het echte probleem hier.
Waarom de ophef niet bijzonder groot is, is omdat de wachtwoorden dus niet achterhaald zijn (voor veruit de grootste groep).
Ook: als je op een andere (nieuwe) computer inlogt, word er ook door Dropbox een e-mail verstuurd. Dus als je geen e-mails hierover ontvangen hebt, is de kans niet groot dat er op je Dropbox door derden is ingelogd.
Daarnaast zou iedereen 2-step authentication moeten gebruiken als extra laag van beveiliging…