Hackers hebben gebruikersdata van meer dan 60 miljoen Dropbox-accounts gestolen

Hackers hebben meer dan 60 miljoen accountgegevens gestolen van opslagplatform Dropbox. Hoewel de accounts gestolen werden bij een ongerapporteerd lek, en Dropbox zegt dat ze slachtoffers hun wachtwoorden hebben laten veranderen, was het onbekend hoeveel gebruikers slachtoffer geworden waren. Deze details komen nu pas naar buiten.

Motherboard kreeg bestanden die e-mailadressen en gehashde wachtwoorden van Dropbox-gebruiker bevatten. De vier bestanden zijn in totaal 5GB groot en bevatten gegevens over 68,680,741 accounts. Een Dropbox-medewerker heeft bevestigd dat de data echt is.

Eerder deze week kondigde Dropbox aan dat ze een aantal gebruikers zouden dwingen om hun wachtwoord te veranderen nadat ze gelekte data uit 2012 vonden. Het bedrijf gaf niet aan hoeveel wachtwoorden er vervangen moesten worden en zeiden dat ze proactief hadden gereageerd.

"Onze beveiligingsteams kijken altijd uit naar bedreigingen voor onze gebruikers. Hierbij leerden we van het bestaan van een database met gegevens van Dropbox-gebruikers (e-mailadressen en gesalte wachtwoorden). We geloven dat deze gegevens in 2012 verkregen zijn. Onze analyse suggereert dat de data gerelateerd is aan een incident dat we rond die tijd gemeld hebben," schreef het bedrijf.

Deze 60 miljoen accounts zijn gelinkt aan datzelfde 'incident.' Motherboard kreeg de volledige database van Leakbase, een site waar ze datalekken bijhouden en publiceren. We vonden veel echte gebruikers in de data die zich rond of voor 2012 hadden aangemeld bij de dienst.

"We hebben bevestigd dat de proactieve wachtwoordreset die we vorige week afgerond hebben, alle potentiële slachtoffers gedekt heeft," vertelt Patrick Heim, hoofd beveiliging bij Dropbox. "We hebben deze actie ingezet als voorzorgsmaatregel, zodat de oude wachtwoorden niet meer gebruikt kunnen worden om toegang te krijgen tot Dropbox. We raadden nog altijd gebruikers aan om hun wachtwoorden bij andere diensten te veranderen als ze die ook gebruikten bij hun Dropbox-account."

Een woordvoerder vertelde Motherboard dat Dropbox geen bewijs heeft gezien van kwaadwillende toegang tot de getroffen accounts.

Bijna 32 miljoen wachtwoorden zijn beveiligd met de sterke hashfunctie bcrypt, waardoor het onwaarschijnlijk is dat hackers toegang krijgen tot de echte wachtwoorden. De rest van de wachtwoorden zijn waarschijnlijk gehashed met SHA-1, een ander, verouderend algoritme. Deze hashes lijken ook een salt te gebruiken; een willekeurige rij getallen en letters die wordt toegevoegd aan wachtwoordhashes om ze extra te beschermen.

Dropbox heeft de manier waarop ze hun wachtwoorden hashen sinds 2012 meerdere keren veranderd om wachtwoorden veilig te houden.

De Dropbox-dump verschijnt niet op de grote marktplaatsen op het dark web, waar dit soort data vaak verhandeld wordt – de waarde van data vermindert als wachtwoorden goed beveiligd zijn. Een hacker vertelde Motherboard dat hij of zij de data al had.

Dit is weer een mega-dump die toegevoegd kan worden aan het rijtje dat de laatste tijd maar blijft groeien. Afgelopen zomer werden er al honderden miljoenen gegevens van sites als LinkedIn, MySpace, Tumblr en VK.com van jaren-oude datalekken gevonden en verhandeld tussen hackers.

Update 31/8/2016: Added extra comment from Dropbox, and clarified a sentence on sourcing.