69 miljoen wachtwoorden van Dropbox gebruikers gestolen

De wachtwoorden van 69 miljoen gebruikers van Dropbox zijn gestolen. De wachtwoorden zijn buitgemaakt tijdens een aanval in 2012, waarbij de inloggegevens van een Dropbox medewerker zijn misbruikt.

Dit melden anonieme bronnen binnen Dropbox tegenover TechCrunch en Motherboard. Dropbox meldde onlangs al alle wachtwoorden van gebruikers die sinds 2012 niet meer zijn gewijzigd te hebben gereset nadat inloggegevens van klanten online werden aangetroffen. Hierbij werd al wel gemeld dat het ging om een preventieve maatregel die bedoeld is om misbruik van in 2012 gestolen data te voorkomen. Tot nu toe werd echter aangenomen dat het hierbij ging om e-mailadressen van gebruikers, waarvan Dropbox eerder al in een blogpost bekend had gemaakt dat deze tijdens de aanval zijn gestolen.

Salt en hash

Nu blijken bij deze aanval dus ook 69 miljoen wachtwoorden buit te zijn gemaakt. 32 miljoen wachtwoorden zijn beveiligd met het algoritme bcrypt, terwijl de overige 37 miljoen voorzien zijn van een hash met SHA-1, dat bekend staat als minder veilig. Daarnaast zijn alle wachtwoorden voorzien van een salt. Het is niet duidelijk of cybercriminelen er inmiddels in zijn geslaagd de wachtwoorden te kraken. Wel meldt Motherboard dat de data tot nu toe niet wordt aangeboden op grote ondergrondse marktplaatsen waar gehandeld wordt in gestolen data.

Bij de cyberaanval op Dropbox in 2012 wisten aanvallers de systemen van het bedrijf binnen te dringen door gebruik te maken van een wachtwoord van een Dropbox medewerker. Dit wachtwoord is afkomstig uit de database met gestolen inloggegevens van LinkedIn, dat eveneens in 2012 slachtoffer werd van datadiefstal. De Dropbox medewerker maakte vermoedelijk voor zowel LinkedIn als Dropbox gebruik van hetzelfde wachtwoord.