Νέα υπόθεση διαρροής usernames και κωδικών απασχολεί την κοινότητα του Διαδικτύου, αυτή τη φορά με «στόχο» το Dropbox, που με τη σειρά του αρνείται ότι «χακαρίστηκαν» οι βάσεις δεδομένων του.
Ειδικότερα, όπως αναφέρεται σε δημοσίευμα του The Next Web, στο Reddit εμφανίστηκε thread το οποίο περιείχε links σε αρχεία με εκατοντάδες κωδικούς και usernames (400) για λογαριασμούς της δημοφιλούς υπηρεσίας σε plain text- ωστόσο είναι άγνωστο από πού προήλθαν. Ο ανώνυμος χρήστης ο οποίος φέρεται να βρίσκεται πίσω από τη διαρροή, σε κάποια αρχεία στο Pastebin κάνει λόγο για «teases», ζητώντας δωρεές σε Bitcoins για συνέχιση των διαρροών και αναφέρεται σε «μαζικό χακάρισμα» το οποίο αφορά σε περίπου επτά εκατομμύρια λογαριασμούς.
Από πλευράς του το Dropbox αρνείται ότι υπήρξε διαρροή/ παραβίαση των βάσεων δεδομένων του, υποστηρίζοντας ότι για το όποιο περιστατικό ευθύνονται «τρίτες» υπηρεσίες. Σε δήλωση στο The Next Web διευκρινίζεται ότι «το Dropbox δεν χακαρίστηκε. Αυτά τα usernames και οι κωδικοί δυστυχώς εκλάπησαν από άλλες υπηρεσίες και χρησιμοποιήθηκαν σε απόπειρες για login σε λογαριασμούς του Dropbox. Είχαμε προηγουμένως εντοπίσει αυτές τις επιθέσεις και η πλειονότητα των κωδικών που δημοσιοποιήθηκαν έχουν λήξει εδώ και καιρό. Όλοι οι υπόλοιποι κωδικοί έχουν λήξει επίσης». Όπως αναφέρεται στο δημοσίευμα, το Dropbox υποστηρίζει ότι προχώρησε σε resets κωδικών όταν εντόπισε «ύποπτη δραστηριότητα» στους επίμαχους λογαριασμούς πριν μήνες.
Εκπρόσωπος της υπηρεσίας δήλωσε στο Business Insider ότι το Dropbox «λήγει» κωδικούς για λογαριασμούς που δέχονται επιθέσεις, αν και δεν ήταν σε θέση να παρέχει τον ακριβή αριθμό των πρόσφατων «λήξεων» τέτοιου είδους. Επίσης, σε νέα δημοσίευση στο επίσημο blog του, αναφέρεται ότι οι κωδικοί και τα usernames που δημοσιεύτηκαν online διαπιστώθηκε κατόπιν ελέγχου ότι «δεν σχετίζονται με λογαριασμούς στο Dropbox».
Γενικότερα, στο εν λόγω post η δημοφιλής υπηρεσία online αποθήκευσης αρχείων διαβεβαιώνει τους χρήστες ότι το υλικό τους είναι ασφαλές και ότι τα usernames και οι κωδικοί στα οποία αναφέρονται τα δημοσιεύματα στο δίκτυο εκλάπησαν από «άσχετες» υπηρεσίες, και όχι από το Dropbox. «Οι επιτιθέμενοι στη συνέχεια χρησιμοποίησαν αυτά τα κλεμμένα διαπιστευτήρια για να προσπαθήσουν να κάνουν login σε ιστοσελίδες στο Ίντερνετ, περιλαμβανομένου του Dropbox. Έχουμε μέτρα για τον εντοπισμό ύποπτης δραστηριότητας και αυτόματα κάνουμε reset κωδικών όταν συμβαίνει κάτι τέτοιο. Επιθέσεις τέτοιου είδους είναι ένας από τους λόγους που ενθαρρύνουμε τους χρήστες να μη χρησιμοποιούν τους ίδιους κωδικούς σε άλλες υπηρεσίες. Για ένα επιπλέον στρώμα ασφαλείας, πάντα συστήνουμε την ενεργοποίηση 2-step verification στον λογαριασμό σας».
Σημειώνεται ότι πρόσφατα το Dropbox είχε δεχτεί τα «βέλη» του πρώην εργαζομένου της NSA και υπεύθυνου για τις αποκαλύψεις περί των ηλεκτρονικών παρακολουθήσεων από τις υπηρεσίες πληροφοριών των ΗΠΑ, Έντουαρντ Σνόουντεν, ο οποίος σε εξ αποστάσεως συνέντευξή του στο πλαίσιο του New Yorker Festival είχε δηλώσει ότι άνθρωποι που ενδιαφέρονται για την προστασία της ιδιωτικότητάς τους θα έπρεπε να αποφύγουν δημοφιλείς διαδικτυακές υπηρεσίες όπως το Dropbox, το Facebook και το Google.
