Delen:
Ben jij een van de 69 miljoen gehackte Dropbox-gebruikers?
Inmiddels heb je waarschijnlijk de zin gehoord “een andere dag, nog een hack” meer keer dat je het in je leven zou willen, maar het is tijd om er nog een aan de lijst toe te voegen, want het is gebleken dat maar liefst 68 miljoen Dropbox-accounts potentieel zijn gecompromitteerd.
Misschien herinner je je nog in 2012, er werd gespeculeerd dat Dropbox was gehackt. Op dat moment ontkende Dropbox dat alles behalve een “projectdocument met e-mailadressen van gebruikers” is mee genomen.
Vanaf augustus 2016 werd dat bevestigd 68 miljoen gebruikersaccounts op Dropboxdie vóór medio 2012 waren gemaakt, zijn blijkbaar online gelekt met hun bijbehorende wachtwoorden.
Op het moment van schrijven is nog steeds niet duidelijk hoe of waarom de uitgelekte informatie vier jaar nodig heeft gehad om te verschijnen, maar nu dat wel zo is, heeft Dropbox de voorzorgstap genomen door de accounts waarvan zij denken dat deze zijn aangetast te e-mailen en om een wachtwoord te resetten.
Wat we weten
In 2012 kondigde Dropbox aan dat sommige gebruikersgegevens waren gestolen als gevolg van een werknemer die een wachtwoord opnieuw gebruikte op een intern systeem dat ze eerder hadden gebruikt op LinkedIn - dat zelf in 2012 was blootgesteld aan een datalek Wat u moet weten over de Enorme LinkedIn-accounts Lekken Wat u moet weten over de enorme LinkedIn-accounts Lek Een hacker verkoopt 117 miljoen gehackte LinkedIn-inloggegevens op het Dark-web voor ongeveer $ 2200 in Bitcoin. Kevin Shabazi, CEO en oprichter van LogMeOnce, helpt ons te begrijpen wat er precies dreigt. Lees verder .
Op dat moment zei Dropbox dat de hacker alleen toegang had gehad tot een projectdocument met e-mailadressen van klanten. Dit leidde tot een grote hoeveelheid spam gericht tegen Dropbox-gebruikers en, als een resultaat, voor Dropbox om te onderzoeken en extra beveiligingsfuncties toe te voegen.
Absoluut * niet * een melding van schending van dropbox. Net… . Errm ... goede wachtwoordhygiëne ... pic.twitter.com/IxoFpdCKIC
- Marc Rogers (@marcwrogers) 27 augustus 2016
Alles ging stil op het Dropbox-lek tot medio augustus 2016, toen Dropbox begon met het versturen van e-mails waarin stond dat klanten die hun wachtwoord sinds medio 2012 niet hadden gewijzigd, bij hun volgende aanmelding zouden worden gevraagd. Er was echter geen expliciete vermelding van een hack of lek en Dropbox rapporteerde niet het aantal gebruikers naar wie deze e-mail was verzonden.
Niet lang nadat deze e-mails waren verzonden, kreeg Motherboard ongeveer 5 GB aan gegevens die de e-mailadressen en versleutelde wachtwoorden van bijna 69 miljoen Dropbox-gebruikers bleken te bevatten. In 2012, toen de hack plaatsvond, had Dropbox net 100 miljoen gebruikers bereikt, dus dit lek vertegenwoordigt op dat moment meer dan tweederde van hun gebruikersbestand.
Troy Hunt, oprichter van de website Have I Been Pwned (HIBP), bevestigde de legitimiteit van de hack door de gegevens van zijn en zijn vrouw in de gegevens te vinden. Vervolgens informeerde hij de 114.136 HIBP-abonnees die getroffen waren door het lek.
Dropbox heeft een verklaring uitgegeven waarin wordt bevestigd dat de gegevens in het lek afkomstig waren van de schending van 2012 en dat het wachtwoord opnieuw is ingesteld “beschermen [ed] alle betrokken gebruikers ... De reset heeft alleen betrekking op [ed] gebruikers die zich vóór medio 2012 bij Dropbox hadden aangemeld en hun wachtwoord niet hadden gewijzigd sinds.” Ze merkten ook op dat de acties die ze namen “beschermde alle betrokken accounts en [hun] intelligentie toonde aan dat dit binnen het bereik van 60+ miljoen lag.”
Nadat we contact met Dropbox hebben opgenomen om de omvang van de inbreuk te verifiëren, hebben we ons dat laten weten “[zij] hebben geen bewijs van ongepaste toegang tot die accounts” wat enige geruststelling is voor getroffen gebruikers.
The Hack - How Bad Is It?
Elke datalek is slecht nieuws en het mogelijk maken van e-mailadressen en wachtwoorden van gebruikers op internet is op zich al verschrikkelijk.
Echter, een sprankje hoop in de Dropbox-hack komt van hun codering van wachtwoorden. Ondanks hun schijnbaar lakse interne wachtwoordbeveiliging ten tijde van de hack, was Dropbox daadwerkelijk begonnen met het nemen van stappen om hun wachtwoordbeveiliging te verbeteren door alle gegevens te coderen met bcrypt, een van de meest veilige hash-algoritmen.
Merk echter op dat slechts (de helft van) de wachtwoorden werden verplaatst naar bcrypt op het moment van de hack, met de andere 34 miljoen versleuteld met behulp van SHA-1, een minder veilige coderingsmethode. Alles is ook niet verloren voor die wachtwoorden, omdat Dropbox de SHA-1-wachtwoorden had gezouten, een willekeurige reeks tekst had toegevoegd om de wachtwoorden moeilijker te ontcijferen.
Deze bescherming kan voorkomen dat kwaadwillende typen de wachtwoorden kunnen ontsleutelen, maar dit moet niet met zekerheid worden overwogen, en je moet absoluut stappen ondernemen om jezelf tegen de hack te beschermen, en een controle op je eigen veiligheid uit te voeren. Protect Yourself Met een jaarlijkse beveiliging en privacychecks Bescherm uzelf met een jaarlijkse beveiliging en privacycheck We zijn bijna twee maanden bezig met het nieuwe jaar, maar er is nog steeds tijd om een positieve oplossing te vinden. Vergeet minder cafeïne te drinken - we hebben het over stappen ondernemen om online veiligheid en privacy te waarborgen. Lees meer om uw online zelf veilig te houden in de toekomst.
Verander je Dropbox-wachtwoord
Hoewel Dropbox het wachtwoord opnieuw heeft ingesteld voor de betreffende accounts, is het opnieuw instellen van je wachtwoord een waardevolle oefening, vooral als je een tijdje lang geen wachtwoord hebt gewijzigd.
Dropbox-accountbeveiliging
Er zijn enkele beveiligingsinstellingen in Dropbox die je kunnen helpen je account te beschermen. Twee-factor authenticatie (2FA) kan worden ingeschakeld in uw accountinstellingen. Zodra je je telefoonnummer hebt ingevoerd, stuurt Dropbox je een in de tijd beperkte, unieke code via sms die je moet invoeren wanneer je probeert in te loggen.
U kunt ook zien welke apparaten zijn geautoriseerd om toegang te krijgen tot uw account, via de mobiele of desktop-app Dropbox. Sessies geven weer welke browsers zijn ingelogd op uw Dropbox-account.
Als u geen van de sessies of apparaten herkent, klikt u op X aan de rechterkant om ze te verwijderen en de toegang uit uw account te verwijderen. Als je grondig wilt zijn, zelfs als je niets verdachts opmerkt, kun je alle sessies en apparaten verwijderen en gewoon weer inloggen op de apps op de apparaten die je gebruikt.
Schakel 2FA Everywhere in
De meeste grote sites hebben ondersteuning voor tweefactorauthenticatie en het is een van de beste manieren om uzelf te beschermen. Sluit deze services nu af met twee-factorenauthenticatievergrendeling Deze services nu met tweefactorauthenticatie Twee-factorauthenticatie is de slimme manier om bescherm uw online accounts. Laten we een paar van de services bekijken die u kunt vergrendelen met een betere beveiliging. Meer lezen in het geval van een hack. Zonder toegang tot u of uw telefoon, kan de hacker niet inloggen op uw account.
Als u niet zeker weet of een website die u gebruikt twee-factor-authenticatie ondersteunt, kunt u controleren met behulp van Two Factor Auth, dat een database van alle ondersteunde sites bijhoudt..
Wijzig alle hergebruikte wachtwoorden
Een van de belangrijkste redenen dat wachtwoordlekken zo slecht nieuws zijn, is dat veel mensen wachtwoorden tussen sites vaak zullen recyclen.
Dropbox erkent dit probleem zelfs, zegt “terwijl Dropbox-accounts beschermd zijn, moeten getroffen gebruikers die hun wachtwoord op andere sites hebben hergebruikt stappen ondernemen om zichzelf op die sites te beschermen.”
Nadat u 2FA hebt ingeschakeld, kunt u de beste preventieve actie ondernemen door ervoor te zorgen dat u op elke site een uniek, sterk wachtwoord gebruikt. Dat omvat het doornemen en ervoor zorgen dat je je Dropbox-wachtwoord niet voor andere accounts hebt gebruikt.
Gebruik een wachtwoordbeheerder
Een van de belangrijkste redenen waarom we wachtwoorden hergebruiken, is omdat het vaak te overweldigend is om ze allemaal te onthouden. Gelukkig zijn wachtwoordmanagers ter plaatse gekomen. Je moet nu een wachtwoordbeheerder gebruiken. Nu moet je een wachtwoordbeheerder gebruiken. Nu zou iedereen een wachtwoordbeheerder moeten gebruiken. Als u geen wachtwoordbeheerder gebruikt, loopt u een groter risico om te worden gehackt! Meer informatie om u te helpen uw lange wachtwoordenlijst te beheren.
Hoewel elke wachtwoordmanager enigszins verschilt, zullen ze allemaal uw wachtwoorden opslaan, waarbij sommige extra functies bieden, zoals het genereren van veilige wachtwoorden. Maak sterke wachtwoorden met deze 4 geweldige Android-apps Maak sterke wachtwoorden met deze 4 geweldige Android-apps Er kunnen gedenkwaardige, sterke wachtwoorden worden gemaakt moeilijk - dus laat een app het voor je doen! Meer informatie en de mogelijkheid om uw wachtwoorden automatisch te wijzigen Wachtwoorden automatisch wijzigen met nieuwe LastPass- en Dashlane-functies Wachtwoorden automatisch wijzigen met nieuwe LastPass- en Dashlane-functies Elke paar maanden horen we van een nieuw beveiligingsprobleem waarbij u uw wachtwoord moet wijzigen . Het is vermoeiend, maar nu bevatten wachtwoordbeheer-apps tools om deze taak te automatiseren, waardoor u tijd bespaart. Lees verder .
Lastpass Security Challenge
LastPass is een van de leidende wachtwoordmanagers en heeft een tool voor beveiligingsuitdagingen Uw wachtwoorden voor het goede beheer met de beveiligingsuitdaging van Lastpass Uw wachtwoorden goed beheren met de beveiligingsuitdaging van Lastpass We spenderen zo veel tijd online met zoveel accounts dat wachtwoorden onthouden heel moeilijk zijn. Bezorgd over de risico's? Ontdek hoe u LastPass 'Security Challenge kunt gebruiken om uw veiligheidshygiëne te verbeteren. Lees verder . Als u uw gegevens importeert in LastPass, analyseert deze al uw wachtwoorden en beoordeelt deze op hun kracht en waarschuwt u als het account bij een lek betrokken was of als u hetzelfde wachtwoord op andere sites hebt gebruikt. U kunt dan zwakke of getroffen wachtwoorden van de Scorecard-pagina wijzigen.
HaveIBeenPwnd
We vertelden dat Troy Hunt, oprichter van Have I Been Pwnd, een van de eersten was die het Dropbox-lek bevestigde door de gegevens van zijn en zijn vrouw in de gegevens te verifiëren. Vervolgens stuurde hij e-mails naar alle betrokken abonnees van HIBP.
Het kost niets om je te abonneren en je hoeft alleen je e-mailadres in te voeren en als Hunt ooit gegevens ontvangt dat je account is gelokaliseerd, stuurt de HIBP-service je een e-mail met een melding. Er is geen nadeel aan deze service en het is een van de beste manieren om op de hoogte te blijven van nieuwe lekken.
Dropbox is niet de eerste ... en het zal niet de laatste zijn
Hacks, datalekken en wachtwoordlekken zijn onderdeel geworden van de loop van het digitale leven in 2016. Er zijn opvallende hacks geweest van sites zoals LinkedIn en de beruchte Ashley Madison Asheak No Big Deal? Think Again Ashley Madison Leak No Big Deal? Think Again Discreet online datingsite Ashley Madison (voornamelijk gericht op vals spelende echtgenoten) is gehackt. Dit is echter een veel ernstiger probleem dan in de pers is verbeeld, met aanzienlijke gevolgen voor de gebruikersveiligheid. Lees meer en nog veel meer.
Het beste advies is om ervoor te zorgen dat u proactieve maatregelen neemt Bescherm uzelf met een jaarlijkse beveiliging en privacycheck Bescherm uzelf met een jaarlijkse beveiliging en privacycheck We zitten bijna twee maanden in het nieuwe jaar, maar er is nog steeds tijd om een positieve oplossing te vinden. Vergeet minder cafeïne te drinken - we hebben het over stappen ondernemen om online veiligheid en privacy te waarborgen. Lees Meer om uw accounts en digitale identiteit te beveiligen, zodat wanneer het onvermijdelijke gebeurt en een andere site wordt gehackt en wachtwoorden worden getoond, u de best mogelijke bescherming heeft.
Image Credit: Raxpixel.com via Shutterstock, welcomia via Shutterstock.com
Ontdek meer over: Dropbox, Password Manager, Security Breck, Two-Factor Authentication.