The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Утечка учётных записей 68 млн пользователей Dropbox

31.08.2016 20:35

В результате взлома сервиса облачного хранения Dropbox, произошедшего ещё в 2012 году, в руки атакующих попала информация об учётных записях более 68 млн пользователей сервиса, включая их email-адреса и хэши паролей. Полученные в результате атаки данные во вторник были выставлены на продажу и теперь доступны для проверки на сайте haveibeenpwned.com. Общий размер базы составил 5 Гб.

Для хэширования паролей 32 млн аккаунтов применялась защищённая функция bcrypt, для остальных учётных записей сохранялся обычный хэш SHA-1 с солью. При этом в опубликованных файлах хэши bcrypt приведены с солью, а для хэшей SHA-1 соль вырезана, что делает невозможным подбор.

На прошлой неделе Dropbox объявил об инициировании процесса смены старых паролей пользователей, не уточняя, в чём причина такой рекомендации. После того как в СМИ попала информация об утечке, представители Dropbox признали факт взлома, но заверили, что никаких следов неавторизованного входа в аккаунты пользователей не зафиксировано. Также утверждается, что утечка произошла достаточно давно и в БД находятся параметры учётных записей по состоянию на середину 2012 года.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Крупнейшая утечка хэшей паролей, включающая пароли социальной сети LinkedIn
  3. OpenNews: Инженеры Dropbox представили новый алгоритм сжатия видео и изображений без потерь
  4. OpenNews: Dropbox открыл код платформы группового обмена сообщениями Zulip
  5. OpenNews: Успехи Rust: Подготовка первого выпуска Servo и использование Rust в новом хранилище Dropbox
  6. OpenNews: Dropbox опубликовал реализацию алгоритма сжатия изображений Lepton
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45053-dropbox
Ключевые слова: dropbox, hack, password
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (52) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, АнонимХ (ok), 21:48, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    А я думаю, чо это они мне письма шлют для смены пароля
     
  • 1.2, Michael Shigorin (ok), 22:01, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    "We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience."

    Вот как выглядит типовая корпоративная ложь.  А я уж и забыл про этот сервис...

     
     
  • 2.38, Билл (?), 09:59, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Почему ложь? Вполне так себе правда.
     
     
  • 3.48, Michael Shigorin (ok), 14:28, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Почему ложь?

    Потому что downplaying.

     
  • 2.54, Typhoon (ok), 16:57, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Опять нужно писать про белогривых лошадок ))))))
     

  • 1.3, Аноним (-), 22:11, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    haveibeenpwned.com - странный сайтик.
    Про badoo с md5-хешами - абсолютно точно враки: я там работал 9 лет назад, и уже тогда хеши хранились соленые и не в md5. Впрочем, там помечено unverified...
     
  • 1.4, Аноним (-), 22:19, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Что теперь надо из новостей узнавать, почему мне нужно было менять пароль
     
     
  • 2.5, Sabakwaka (ok), 22:49, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> из новостей узнавать, почему мне нужно было менять пароль...

    Пароль надо менять раз в месяц.

     
     
  • 3.10, АнонимХ (ok), 23:16, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Каждый день
     
     
  • 4.11, KOT040188 (ok), 23:28, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Каждую минуту… Погодите, вы там что, личную порнуху держите? Или план по захвату власти? Я туда только снимки экрана лью ну и прочую дребедень…
     
     
  • 5.13, АнонимХ (ok), 23:58, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Держу в дропбоксе бизнес-планы своих стартапов, меняю пароль каждый день. Продвинутый пользователь дропбокса же
     
     
  • 6.15, KOT040188 (ok), 00:07, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А надо каждую минуту.
     
     
  • 7.42, zloy_pingvin (?), 10:24, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Апасна! каждые полминуты нужно!
     
  • 5.39, Аноним (-), 10:01, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А на снимках экрана внезапно может оказаться компромат, конфиденциальные данные.
     

  • 1.6, Аноним (-), 22:50, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    Мы утаили от вас, что у нас украли 68 миллионов учетных записей. Теперь поверьте нам, что к ним никто не пытался получить доступ.
     
     
  • 2.26, Аноним (-), 05:20, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    нельзя "украсть" то что они полагали своей собственостью в пику наивности своих "пользователей" и инвестолов из разведведомств США(а равно и персонала оттуда-же)
     

  • 1.7, Брат (?), 23:06, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +29 +/
    Вся эта петросянка с облаками, с самого начала было понятно, что это файлпомойки 2.0, только с общим доступом. Люди, которые хранят важные данные в сети - просто идиоты. Ведь все что попало в сеть - можно взломать. И этот взлом в очередной раз подтверждает, что идиоты должны и БУДУТ платить.
     
  • 1.12, th3m3 (ok), 23:46, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Я всегда говорил, что облака - зло.
     
     
  • 2.14, Анонимусы (?), 00:02, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я всегда говорил что нужно мыслить логично.
    Мыслить не логично -> беда.
     
  • 2.32, dmr (?), 08:14, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно когда они навязываются поставщиком оси.
     

  • 1.16, Онаним (?), 01:47, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пофиг. Пусть попробуют подобрать по хэшу мой пароль в стиле w%gotЫ̆E%EZ_v@V×CJ%nCJG'g)B-ΩsE+ЩնꙬ…
     
     
  • 2.17, alltiptop (ok), 02:06, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Попробуй сам набрать его с телефона или испанской клавиатуры.
     
     
  • 3.18, Онаним (?), 02:47, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    DropBox настраивается один раз после переустановки системы и забывается на следующие три года.
     
     
  • 4.28, djoe (ok), 05:35, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Но такой пароль забывается еще раньше :) А потом вдруг летит операционка, ломается железо, и т.д и т.п..
     
     
  • 5.41, Sluggard (ok), 10:07, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для этого есть менеджеры паролей, а-ля KeePassX, и бэкапы их баз.
     
     
  • 6.47, Michael Shigorin (ok), 14:15, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Но такой пароль забывается еще раньше :)
    >> А потом вдруг летит операционка, ломается железо, и т.д и т.п..
    > Для этого есть менеджеры паролей, а-ля KeePassX, и бэкапы их баз.

    Кстати, на LVEE питерские ребята рассказывали про Pastilda (и показывали в деле): http://lvee.org/ru/abstracts/228

     
     
  • 7.52, Sluggard (ok), 14:51, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это, на мой взгляд, уже к донглу ближе, чем к менеджеру паролей. Или нечто среднее. Для меня полезность такого устройства сомнительна как-то.
     
  • 6.57, YetAnotherOnanym (ok), 21:00, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Для этого есть менеджеры паролей, а-ля исписанная загадками бумажка, сложенная несколько раз и подсунутая под ножку стола, чтобы не качался.

    Fixed

     
     
  • 7.58, Sluggard (ok), 21:04, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Для этого есть менеджеры паролей, а-ля исписанная загадками бумажка, сложенная несколько раз и подсунутая под ножку стола, чтобы не качался.
    > Fixed

    Полное собрание сочинений Л. Н. Толстого в 90 томах, с паролями, записанными на произвольных страницах произвольных томов, ага.

     
     
  • 8.59, YetAnotherOnanym (ok), 00:02, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Капитал же Его и читать интереснее, чем ВиМ , например ... текст свёрнут, показать
     
     
  • 9.60, Sluggard (ok), 00:05, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше всего вообще что-то из Донцовой Брезгливый человек даже не притронется, н... текст свёрнут, показать
     
  • 4.34, кверти (ok), 08:30, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >забывается на следующие три года

    Вот и вантузоиды подтянулись. Вам страдать не привыкать, это уже ваш долг.

     
  • 2.21, Redneck (?), 03:42, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Подберут, только выглядеть он будет проще.
     

  • 1.19, Аноним (-), 02:48, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Люди, которые хранят важные данные в сети - просто идиоты. Ведь все что попало в сеть - можно взломать. Админ сити банка так же говорит. Аиргап наше всё.
    Облака делают только лишь для того чтоб ДРМ впаривать игра в облаке вот и вся соль
     
     
  • 2.20, Онаним (?), 03:21, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Категорически согласен. Как говорится "there is no cloud, there is just someone else's computer". Тем не менее некоторые особо важные данные, особо сильно зашифровав лучше всё-таки забэкапить и туда на случай поломок/потерь/итп физических носителей. Ну и те данные, конфиденциальность которых хоть и желательна, но не принципиальна, при этом удобно иметь к ней доступ отовсюду и совместно с другими -тоже таки удобно залить туда.
     
     
  • 3.23, Crazy Alex (ok), 03:57, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Очень мало тех, у кого есть данные, которые не "особо сильно", а просто зашифровав каким-нибудь AES или ChaCha20, нельзя бэкапить в облачные хранилища.
     
     
  • 4.25, Вы забыли заполнить поле Name (?), 05:04, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > а просто зашифровав каким-нибудь AES или ChaCha20, нельзя бэкапить в облачные хранилища

    Почему?

     
     
  • 5.29, АнонимХ (ok), 06:37, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не распарсил!
     
  • 5.51, Crazy Alex (ok), 14:45, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я имел в виду, что для абсолютного большинства такой защиты достаточно для того, чтобы держать в облаках любые свои данные, которые они готовы держать на локальных устройствах.
     

  • 1.22, Redneck (?), 03:49, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня там (как и в других облаках) данных с грифом секретно не хранится, такие данные предпочитаю записывать на бумажку от руки. Но все равно обидно будет, если кто-то туда зайдет и похозяйничает.
     
     
  • 2.30, iPony (?), 06:39, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А у меня там настройки для пульшаудио/альсы/опенала, чтоб под линуксами звук не шипел и не пердел.
    Проведут атаку и увсё, буду слушать шипения или заикания во славу Поттеринга...
     
     
  • 3.46, Потёртый (?), 14:12, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    От ваших настроек теперь весь облачный сервис шипит и пердит. Неудивительно, что их ломают - с таким шипением-то!
     

  • 1.27, djoe (ok), 05:33, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ни дня без взлома паролей какого-нить облачного сервиса..
     
  • 1.31, Анонимко (?), 07:31, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Много лет храню в дропбоксе ценные данные наряду с прочим мусором.
    И да, это то самое чувство, когда пофиг.

    Пароль меняю раз в 6-8 месяцев. Когда подберут мой 26-значный пароль из цифр, символов в обоих регистрах и спецсимволов, пусть начинают подбирать пароли к AES256-контейнерам. Скриншотики же и фоточки природы можно наблюдать сразу же после подбора пароля к облаку. Я не против :)

     
     
  • 2.37, Аноним (-), 09:52, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Вы уже выдали длину пароля, словари, тип контейнера. Я вас поздравляю, можете взять пирожок с полки.
     
     
  • 3.44, Анонимко (?), 10:36, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ничто из этого не секретно, ибо:

    У меня, у одного из 68 млн аккаунтов длина пароля 26 символов. Это притом, что там только хэши. ОМГ, меня теперь найдут?)

    Словарь - самый сложный, если не брать в расчет непечатаемые символы (которые еще не факт, что нормально всем софтом того же дропбокса обрабатываются)

    Тип контейнера - даже если бы AES256 был единственным алгоритмом примененного мной шифрования (вспомним, что ТС умеет применять их сразу пучком), то, учитывая стойкость алгоритма и реализации шифрования, мне бояться нечего.

    В любом случае, даже если параноя настолько сильна, что за мной, Анонимкой в опеннете следят и все записывают, можно заключить, что у одного из 68 миллионов ВОЗМОЖНО утекших аккаунтов 26-значный пароль такой-то сложности, при этом в дропбоксе лежат криптоконтейнеры, шифрованные AES256.

    Блин, походу меня раскрыли. Пошел менять внешность, голос, папиллярные узоры на пальцах и, конечно же, пол.

     
  • 2.43, Аноним (-), 10:36, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у вас нет паранойи, это не значит, что за вами не следят :D
     

  • 1.35, pepto (?), 09:11, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пароли, пароли...
    Чего по их поводу переживать.
    Всего-то делов - надо просто хранить в облаках зашифрованные файлы (encfs) или контейнеры (truecrypt и т.п.).
    И всё!!!
     
  • 1.40, Пахом (?), 10:04, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну что как дела пользователи облаков?
     
     
  • 2.45, Странник (??), 11:35, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    NextСloud рулит.
     

  • 1.49, dr Equivalent (ok), 14:32, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Астрологи объявили неделю утечек.
    Количество взломанных аккаунтов увеличилось вдвое.
     
  • 1.50, Аноним (-), 14:34, 01/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Good news — no pwnage found!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру