Gå til innhold

Dropbox løy om kjempeinnbrudd. Ble frastjålet 68 millioner kontoer

Gjest Marius B. Jørgenrud

Av Gjest Marius B. Jørgenrud
i Diskuter artikler (Digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
abooAyoob

abooAyoob

Skrevet
Skrevet

Håper jo nesten at noen saksøker Dropbox på bakgrunn av at noen har stjålet data fra kontoen deres ila. de 3-4 årene passord nå har vært på avveie. Sånn for å poengtere hvor idiotisk det er å holde dette skjult.

 

Det beste og mest effektive hadde vært om folk byttet til en annen tjeneste... De fortjener ikke kundene sine når de oppfører seg sånn, jeg sletter gratiskontoen nu.

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Det som er blitt stjålet er ikke passord, men lister med "passord signaturer" (hash).

Eventuelle kjeltringer må altså komme opp med et passord som stemmer med signaturen til den konto de ønsker å benytte. Her er en nettside som lar deg kalkulere ulike "passord signaturer", via ulike hash-kalkulasjons varianter. Steder som dropbox lagrer altså ikke passordet ditt, men "hash resultatet" (resultatet av hash kalkulasjonen).

Raske hash-algoritmer som SHA-1 (20-byte hash, laget av NSA) blir svake når passordet er svakt/kort. De som benytter lange passord er relativt sikre nesten uansett hvilken rutine som benyttes. Dette fordi tegnene i selve passordet blir en del av beregningene som foretas i hash rutinen.

 

Tillegg;

Det ligger lister med "passord signaturer" over de mest benyttede passord på nettet. Rundt ti millioner ulike passord, med "passord signatur" for alle beregningsmetodene.

Så; Det er langt bedre at du som bruker benytter et sterkt, eget,  passord enn at tjenesten kjører med en "sikker" hash-algoritme.

 

Tillegg 2:

Dessuten er det normalt at tjenester benytter "salt". De gjør om passordet via kode før de beregner hash verdien som deretter lagres. F.eks legger til "123" foran og "456" bak alle passord, så passordet "hei" gjøres om til "123hei456".  Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer".

Endret av Slettet-Pqy3rC
Lenke til kommentar
VS6F2053

VS6F2053

Skrevet
Skrevet

Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer".

 

Nja. Saltet er ikke enda en hemmelighet tyvene skal trenge å finne, men en måte for å få hashen til like passord (password123) til å bli forskjellige. Dette er for å unngå rainbow-table angrep.

Saltet er derfor unikt for hvert passord og ofte lagret i klartekst sammen med passord-hashen.

  • Liker 1
Lenke til kommentar
omnomnom

omnomnom

Skrevet
Skrevet

....

Tillegg 2:

Dessuten er det normalt at tjenester benytter "salt". De gjør om passordet via kode før de beregner hash verdien som deretter lagres. F.eks legger til "123" foran og "456" bak alle passord, så passordet "hei" gjøres om til "123hei456".  Det betyr at eventuelle tyver må få tak i "salt" metoden i tillegg til listen med "passord signaturer".

 

Er du en del av hack'en, og har samme passord nå (eller husker det fremdels), og har tilgang på den lekkede hash'en til din bruker, kan du bruke det ene passordet som "rainbow"-list og kan reversere hash'en ganske enkelt (enten det er sha-1 eller bcrypt).

Bruker de helt random "salt", er det ikke så problematisk for de som er lagret med bcrypt. Viser det seg derimot at det er en salt-algoritme, så er det med en gang mye verre, selv for de lagret med bcrypt.

 

Men største problemet her, er jo at Dropbox har prøvd å skjule dette så lenge som mulig. På 4år, så er det godt mulig at flere av disse hash'ene faktisk er reversert og solgt videre.

Lenke til kommentar
Marsmarken

Marsmarken

Skrevet
Skrevet

Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden.

 

Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail. Men det har vært en strøm av svindelforsøk det siste døgnet av mailer som gir seg ut for å være fra Dropbox. Hvis du trykka på link i mailen og skiftet så har passordet ditt allerede blitt tatt.

 

Gå inn på dropbox.com via browser og skift på nytt umiddelbart!

Lenke til kommentar
ZoRaC

ZoRaC

Skrevet
Skrevet

 

Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden.

 

Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail.

Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer:

"Hi <navn på konto>,

 

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.

 

To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected].

 

Thanks,

The Dropbox Team "

  • Liker 3
Lenke til kommentar
Suppen

Suppen

Skrevet
Skrevet

 

 

Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden.

Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail.

Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer:

"Hi <navn på konto>,

 

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.

 

To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected].

 

Thanks,

The Dropbox Team "

 

 

Jeg fikk også denne. Glad jeg aldri egentlig har brukt Dropbox. Har bare en tom konto

Lenke til kommentar
Marsmarken

Marsmarken

Skrevet
Skrevet

 

 

Ja, fikk jo selv denne mailen fra dropbox, der de oppfordret til å bytte passord, ikke fordi noe hadde skjedd, neida, men for å være på den sikre siden.

 

Det fikk du nok ikke. Dropbox har svjv ikke sendt slik mail.

Joda, jeg har fått denne eposten må alle mine Dropbox-kontoer:

"Hi ,

 

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.

 

To learn more about why we’re taking this precaution, please visit this page on our Help Center. If you have any questions, feel free to contact us at [email protected].

 

Thanks,

The Dropbox Team "

OK. Ser legit ut. Flere av mine brukere (som ikke bruker dropbox) har fått phishing-mail, mens ingen av de som faktisk har dropbox har fått ekte advarsel.

Lenke til kommentar
Frobe

Frobe

Skrevet
Skrevet (endret)

Her er den norske teksten jeg fikk 27. august, og Gmail gikk god for at den ikke var spam/phishing:

 


Hei, Frode!

Vi tar kontakt med deg for å opplyse om at dersom du ikke har oppdatert Dropbox-passordet siden midten av 2012, vil du bli bedt om å oppdatere det den neste gangen du logger deg på. Dette er kun et forebyggende tiltak, og vi beklager bryet det eventuelt medfører.

Hvis du vil finne ut mer om hvorfor vi tar denne forholdsregelen, kan du gå til denne siden i hjelpesenteret. Hvis du lurer på noe, er det bare å ta kontakt med oss på [email protected].

Takk skal du ha!
Dropbox-teamet

Endret av Frobe
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...