¿Eres uno de los 69 millones de usuarios de Dropbox pirateados?
A estas alturas probablemente ya hayas escuchado la frase. “otro dia, otro hack” más veces de las que querría en una vida, pero es hora de agregar otra a la lista, ya que se desprendió que un asombroso 68 millones de cuentas de Dropbox han sido potencialmente comprometidas.
Tal vez recuerde que en 2012, hubo especulaciones de que Dropbox había sido hackeado. En el momento en que Dropbox negó que cualquier otra cosa que no fuera una “Documento de proyecto con direcciones de correo electrónico del usuario.” habia sido tomado.
A partir de agosto de 2016 se confirmó que a lo largo de 68 millones de cuentas de usuario en Dropboxque habían sido creados antes de mediados de 2012 aparentemente se han filtrado en línea con sus contraseñas asociadas.
Al momento de escribir, todavía no está claro cómo o por qué la información filtrada tardó cuatro años en aparecer, pero ahora que lo ha hecho, Dropbox ha tomado la medida de precaución de enviar por correo electrónico las cuentas que consideran afectadas y solicitar un restablecimiento de la contraseña..
Lo que sabemos
En 2012, Dropbox anunció que se habían robado algunos datos de los usuarios como resultado de que un empleado reutilizó una contraseña en un sistema interno que había utilizado anteriormente en LinkedIn, que a su vez estaba sujeta a una violación de datos en 2012. Fuga masiva de cuentas de LinkedIn Lo que necesita saber sobre la fuga masiva de cuentas de LinkedIn Un pirata informático está vendiendo 117 millones de credenciales pirateadas de LinkedIn en la web oscura por alrededor de $ 2,200 en Bitcoin. Kevin Shabazi, CEO y fundador de LogMeOnce, nos ayuda a entender qué está en riesgo. Lee mas .
En ese momento, Dropbox dijo que el pirata informático solo había accedido a un documento de proyecto que contenía las direcciones de correo electrónico de los clientes. Esto llevó a un gran volumen de spam dirigido a los usuarios de Dropbox y, como resultado, a Dropbox para investigar y agregar características de seguridad adicionales.
Definitivamente * no * una notificación de incumplimiento de Dropbox. Sólo… . Errm ... buena seguridad de las contraseñas ... pic.twitter.com/IxoFpdCKIC
- Marc Rogers (@marcwrogers) 27 de agosto de 2016
Todos se quedaron tranquilos con la fuga de Dropbox hasta mediados de agosto de 2016, cuando Dropbox comenzó a enviar correos electrónicos que indicaban que a los clientes que no habían cambiado sus contraseñas desde mediados de 2012 se les pedirá su próxima sesión. Sin embargo, no se mencionó explícitamente un hackeo o una fuga y Dropbox no informó la cantidad de usuarios a los que había enviado este correo electrónico..
No mucho después de que se enviaran estos correos electrónicos, la placa madre recibió aproximadamente 5 GB de datos que parecían contener las direcciones de correo electrónico y las contraseñas cifradas de casi 69 millones de usuarios de Dropbox. En 2012, cuando se produjo el hackeo, Dropbox acababa de llegar a los 100 millones de usuarios, por lo que esta filtración representa más de dos tercios de su base de usuarios en ese momento..
Troy Hunt, fundador del sitio web Have I Been Pwned (HIBP), confirmó la legitimidad del hackeo al encontrar las credenciales de él y de su esposa en los datos. Luego procedió a notificar a los 114,136 suscriptores de HIBP que habían sido afectados por la filtración..
Dropbox emitió una declaración que confirma que los datos contenidos en la filtración provienen de la infracción de 2012 y que la contraseña se restablece. “proteger [ed] a todos los usuarios afectados ... El restablecimiento solo afecta a los usuarios [ed] que se registraron en Dropbox antes de mediados de 2012 y no habían cambiado su contraseña desde.” También comentaron que las acciones que tomaron. “protegió todas las cuentas afectadas y [su] inteligencia mostró que esto estaba en el rango de más de 60 millones.”
Después de contactar a Dropbox para verificar el alcance de la violación, se nos informó que “[ellos] no tienen evidencia de acceso indebido a esas cuentas” lo cual es una garantía para los usuarios afectados.
El Hack - ¿Qué tan malo es??
Cualquier violación de datos es una mala noticia y el lanzamiento de las contraseñas y direcciones de correo electrónico de los usuarios en Internet es terrible por derecho propio.
Sin embargo, un rayo de esperanza en el hack de Dropbox proviene de su cifrado de contraseñas. A pesar de su seguridad de contraseña interna aparentemente laxa en el momento del hackeo, Dropbox había comenzado a tomar medidas para mejorar la seguridad de su contraseña al cifrar todos los datos con bcrypt, uno de los algoritmos de hashing más seguros..
Sin embargo, tenga en cuenta que solo (aproximadamente) la mitad de las contraseñas se transfirieron a bcrypt en el momento del hackeo, con los otros 34 millones cifrados utilizando SHA-1, un método de cifrado menos seguro. Tampoco todo está perdido para esas contraseñas, ya que Dropbox había introducido las contraseñas SHA-1, agregando una cadena aleatoria de texto para hacer que las contraseñas sean más difíciles de descifrar..
Esta protección puede evitar que cualquier tipo nefario pueda descifrar las contraseñas, pero esto no debe tomarse con certeza, y definitivamente debe tomar medidas para protegerse del hackeo y hacer una revisión de su propia seguridad. Protéjase Con un chequeo anual de seguridad y privacidad Protéjase con un chequeo anual de seguridad y privacidad Ya casi faltan dos meses para el nuevo año, pero aún hay tiempo para hacer una resolución positiva. Olvídese de tomar menos cafeína; estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Lee más para mantener tu auto en línea seguro en el futuro.
Cambia tu contraseña de Dropbox
Aunque Dropbox ya realizó los restablecimientos de contraseña para las cuentas afectadas, restablecer su contraseña es un ejercicio que vale la pena, especialmente si no ha cambiado las contraseñas por un tiempo..
Seguridad de la cuenta de Dropbox
Hay algunas configuraciones de seguridad en Dropbox que pueden ayudarte a proteger tu cuenta. La autenticación de dos factores (2FA) se puede habilitar en la configuración de su cuenta. Una vez que haya ingresado su número de teléfono, Dropbox le enviará un código único por tiempo limitado a través de SMS que deberá ingresar cuando intente iniciar sesión.
También puede ver qué dispositivos han sido autorizados para acceder a su cuenta, ya sea a través de la aplicación móvil o de escritorio de Dropbox. Las sesiones mostrarán qué navegadores han iniciado sesión en su cuenta de Dropbox.
Si no reconoce ninguna de las sesiones o dispositivos, puede hacer clic en X en el lado derecho para eliminarlos y eliminar el acceso de su cuenta. Si desea ser concienzudo, incluso si no observa nada sospechoso, puede eliminar todas las sesiones y dispositivos y simplemente volver a iniciar sesión en las aplicaciones de los dispositivos que usa..
Habilitar 2FA en todas partes
La mayoría de los sitios principales son compatibles con la autenticación de dos factores y es una de las mejores maneras de protegerse Bloquee estos servicios ahora con autenticación de dos factores Bloquee estos servicios ahora con autenticación de dos factores La autenticación de dos factores es la forma inteligente de Protege tus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lea más en caso de un hack. Sin acceso a usted o su teléfono, el pirata informático no podrá iniciar sesión en su cuenta.
Si no está seguro de si un sitio web que utiliza admite la autenticación de dos factores, puede verificar utilizando la Autenticación de dos factores, que mantiene una base de datos de todos los sitios compatibles..
Cambiar cualquier contraseña reutilizada
Una de las razones principales por las que las filtraciones de contraseñas son tan malas noticias es que muchas personas a menudo reciclan contraseñas entre sitios.
Dropbox incluso reconoce este problema, declarando “mientras que las cuentas de Dropbox están protegidas, los usuarios afectados que pueden haber reutilizado su contraseña en otros sitios deben tomar medidas para protegerse en esos sitios.”
Después de habilitar 2FA, la mejor acción preventiva que puede tomar es asegurarse de usar una contraseña segura y única en cada sitio. Eso incluye revisar y asegurarse de que no reutilizó su contraseña de Dropbox en ninguna otra cuenta.
Use un administrador de contraseñas
Una de las razones principales por las que reutilizamos las contraseñas es porque a menudo puede ser demasiado abrumador recordarlas todas. Afortunadamente, los administradores de contraseñas han llegado a la escena que necesita para comenzar a usar un administrador de contraseñas ahora mismo. Debe comenzar a usar un administrador de contraseñas ahora mismo. Ahora, todo el mundo debería estar usando un administrador de contraseñas. De hecho, no usar un administrador de contraseñas lo pone en mayor riesgo de ser hackeado. Lea más para ayudarlo a administrar su larga lista de contraseñas.
Si bien cada administrador de contraseñas difiere un poco, todos almacenarán sus contraseñas, y algunas ofrecerán funciones adicionales como la generación segura de contraseñas. Cree contraseñas seguras con estas 4 increíbles aplicaciones de Android. Cree contraseñas seguras con estas 4 increíbles aplicaciones de Android. difícil - así que deja que una aplicación lo haga por ti! Obtenga más información y la capacidad de cambiar sus contraseñas automáticamente Cómo cambiar automáticamente las contraseñas con las nuevas funciones de LastPass y Dashlane Cómo cambiar automáticamente las contraseñas con las nuevas funciones de LastPass y Dashlane Cada pocos meses, nos enteramos de una nueva vulnerabilidad de seguridad que requiere que cambie su contraseña . Es aburrido, pero ahora las aplicaciones de administración de contraseñas están agregando herramientas para automatizar esta tarea, lo que le ahorra tiempo. Lee mas .
Desafío de seguridad de Lastpass
LastPass es uno de los principales gestores de contraseñas y tiene una herramienta de Desafío de seguridad. Domine sus contraseñas para siempre. Desafío de seguridad de Lastpass. Contraseñas. Desafíe su seguridad. Pasamos tanto tiempo en línea, con tantas cuentas, que recordar contraseñas puede se muy duro ¿Preocupado por los riesgos? Descubra cómo usar el Desafío de seguridad de LastPass para mejorar su higiene de seguridad. Lee mas . Si importa sus datos en LastPass, analizará todas sus contraseñas, las evaluará según su solidez y le alertará si la cuenta estuvo involucrada en una fuga o si ha usado la misma contraseña en otros sitios. Luego puede cambiar cualquier contraseña débil o afectada desde la página de Scorecard..
HaveIBeenPwnd
Mencionamos que Troy Hunt, fundador de Have I Been Pwnd fue uno de los primeros en confirmar la filtración de Dropbox al verificar los detalles de él y su esposa en los datos. Luego envió correos electrónicos a todos los suscriptores afectados de HIBP..
No cuesta nada suscribirse, y todo lo que debe hacer es ingresar su dirección de correo electrónico y, si Hunt alguna vez obtiene datos de que su cuenta se ha presentado en una fuga, el servicio HIBP le enviará un correo electrónico que lo alertará. Este servicio no tiene inconveniente, y es una de las mejores maneras de estar al tanto de las nuevas fugas..
Dropbox no es lo primero ... y no será lo último
Hacks, violaciones de datos y filtraciones de contraseñas se han convertido en parte del curso de la vida digital en 2016. Ha habido hacks de alto perfil de sitios como LinkedIn y la infame Ashley Madison. Piense otra vez Ashley Madison fuga No es gran cosa? Think Again El sitio de citas en línea discreto Ashley Madison (dirigido principalmente a los cónyuges infieles) ha sido hackeado. Sin embargo, este es un problema mucho más serio que el que se ha descrito en la prensa, con implicaciones considerables para la seguridad del usuario. Leer más junto con innumerables más.
El mejor consejo es asegurarse de tomar medidas proactivas. Protéjase con un chequeo anual de seguridad y privacidad. Protéjase con un chequeo anual de seguridad y privacidad. Ya casi faltan dos meses para el nuevo año, pero todavía hay tiempo para una resolución positiva. Olvídese de tomar menos cafeína; estamos hablando de tomar medidas para salvaguardar la seguridad y la privacidad en línea. Lea más para proteger sus cuentas e identidad digital, de modo que cuando ocurra lo inevitable y se hackee otro sitio y las contraseñas queden expuestas, tendrá la mejor protección disponible.
Crédito de la imagen: Raxpixel.com a través de Shutterstock, welcomia a través de Shutterstock.com
Obtenga más información sobre: Dropbox, Administrador de contraseñas, Violación de seguridad, Autenticación de dos factores.