69 miljoen wachtwoorden van Dropbox gebruikers gestolen

password-1433221-m

De wachtwoorden van 69 miljoen gebruikers van Dropbox zijn gestolen. De wachtwoorden zijn buitgemaakt tijdens een aanval in 2012, waarbij de inloggegevens van een Dropbox medewerker zijn misbruikt.

Dit melden anonieme bronnen binnen Dropbox tegenover TechCrunch en Motherboard. Dropbox meldde onlangs al alle wachtwoorden van gebruikers die sinds 2012 niet meer zijn gewijzigd te hebben gereset nadat inloggegevens van klanten online werden aangetroffen. Hierbij werd al wel gemeld dat het ging om een preventieve maatregel die bedoeld is om misbruik van in 2012 gestolen data te voorkomen. Tot nu toe werd echter aangenomen dat het hierbij ging om e-mailadressen van gebruikers, waarvan Dropbox eerder al in een blogpost bekend had gemaakt dat deze tijdens de aanval zijn gestolen.

 

Salt en hash

Nu blijken bij deze aanval dus ook 69 miljoen wachtwoorden buit te zijn gemaakt. 32 miljoen wachtwoorden zijn beveiligd met het algoritme bcrypt, terwijl de overige 37 miljoen voorzien zijn van een hash met SHA-1, dat bekend staat als minder veilig. Daarnaast zijn alle wachtwoorden voorzien van een salt. Het is niet duidelijk of cybercriminelen er inmiddels in zijn geslaagd de wachtwoorden te kraken. Wel meldt Motherboard dat de data tot nu toe niet wordt aangeboden op grote ondergrondse marktplaatsen waar gehandeld wordt in gestolen data.

Bij de cyberaanval op Dropbox in 2012 wisten aanvallers de systemen van het bedrijf binnen te dringen door gebruik te maken van een wachtwoord van een Dropbox medewerker. Dit wachtwoord is afkomstig uit de database met gestolen inloggegevens van LinkedIn, dat eveneens in 2012 slachtoffer werd van datadiefstal. De Dropbox medewerker maakte vermoedelijk voor zowel LinkedIn als Dropbox gebruik van hetzelfde wachtwoord.

Lees ook
Nieuwe kansen voor cybercriminelen

Nieuwe kansen voor cybercriminelen

Fortinet heeft een nieuwe editie van zijn kwartaalpublicatie Global Threat Landscape Report gepubliceerd. Hieruit blijkt dat cybercriminelen hun aanvalstechnieken voortdurend aanscherpen. Of het nu gaat om misbruik van de uiterst gebrekkige beveiliging van IoT-apparaten of het omvormen van open source-tools tot nieuwe cyberbedreigingen. Het aantal...

Kwart organisaties die de publieke cloud gebruiken heeft te maken gehad met datadiefstal

Een kwart van de organisaties die gebruikmaken van de publieke cloud heeft te maken gehad met datadiefstal. Dit is een van de opvallende uitkomsten van het nieuwe McAfee-rapport ‘Navigating a Cloudy Sky: Practical Guidance and the State of Cloud Security’ dat tijdens RSA Conference USA is gepresenteerd. Het rapport geeft een overzicht van de actuele stand van zaken rond cloud gebruik, de belangrijkste zorgen rond private en publieke clouddiensten, de security-implicaties van de cloud en de toename van ‘shadow IT’. Gebrek aan inzicht is een van de grootste uitdagingen bij een transitie naar de cloud....

ESET: ‘Paniek over database met miljoenen Nederlandse wachtwoorden onnodig’

Nederlanders hoeven zich geen grote zorgen te maken over de database met naar schatting 3,3 miljoen Nederlandse wachtwoorden, die sinds afgelopen vrijdag door iedereen te doorzoeken is. Dat meent althans IT-beveiliger ESET Nederland. Volgens dit security-bedrijf bestaat de database nagenoeg zeker volledig uit reeds bekende datalekken, waaronder die van LinkedIn uit 2012. Deze lekken zijn al meermalen online verschenen en Nederlanders zijn er sindsdien al verschillende keren op geattendeerd om de ontdekte wachtwoorden aan te passen. ESET stelt dat daarom nu geen acuut verhoogde dreiging is. Bewustzijn...