​Hackers roubaram dados de mais de 60 milhões de usuários do Dropbox

Hackers roubaram dados de mais de 60 milhões de contas da plataforma de armazenamento de arquivos na nuvem Dropbox. Por mais que as contas tenham sido roubadas durante ataque previamente divulgados e a empresa afirme já ter forçado a troca de senhas, só agora a real extensão do ataque vem à tona.

O Motherboard obteve uma série de arquivos com emails e senhas dos usuários da Dropbox por meio de fontes na comunidade de trocas de banco de dados. No total, os quatro arquivos somam cerca de 5 GB e contêm detalhes de 68.680.741 contas. São dados legítimos de acordo com funcionário da própria Dropbox.

No começo da semana, a Dropbox anunciou que estava resetando as senhas de um grande número de usuários depois de descobrir um pacote com informações ligados à invasão ocorrida em 2012. A empresa não divulgou o número exato das senhas a serem trocadas e afirmou ter agido de forma proativa.

"Nossas equipes de segurança sempre estão de olho em novas ameaças aos nossos usuários", escreveu a companhia. "Como parte deste esforço contínuo, descobrimos uma série de dados antigos de usuários do Dropbox (emails e senhas) que acreditamos terem sido obtidos em 2012. Nossa análise sugere que as credenciais estejam relacionadas a um incidente sobre o qual comunicamos por volta daquela época."

Estas 60 milhões de contas estão relacionadas ao mesmo ocorrido. O Motherboard recebeu os dados completos por meio do serviço de notificação de vazamentos/invasões Leakbase, e descobriu que muitos dos usuários ali presentes haviam se inscrito no serviço por volta de 2012 ou antes.

"Confirmamos que o resetar proativo de senhas que completamos na semana passada atingiu todos os usuários potencialmente impactados", disse Patrick Heim, Diretor de Confiança e Segurança do Dropbox. "Demos início a este processo como medida de precaução, para que as senhas de antes de 2012 não possam ser usadas para acessar indevidamente contas do Dropbox. Ainda assim, encorajamos os usuários a mudarem as senhas em outros serviços seus caso tenham reutilizado a senha do Dropbox."

Um porta-voz do Dropbox comentou ao Motherboard que não foram detectados quaisquer acessos maliciosos às contas.

Aproximadamente 32 milhões das senhas tem proteção por meio da função bcrypt, o que significa que é improvável que os hackers obtenham as senhas de fato dos usuários. O resto é protegido pelo que parece ser SHA-1, outro algoritmo mais antigo. Além disso, essas senhas e proteções pelo visto também usaram aquilo que no ramo da criptografia chamam de sal: uma linha aleatória adicionada ao processo de hash de forma a fortalecer a segurança.

O Dropbox mudou seu processo de hash de senhas várias vezes desde 2012 a fim de manter as senhas em segurança.

Os dados vazados não aparecem nos grandes sites da deep web em que normalmente tais dados são vendidos: o valor destes costumam cair quando se tomam medidas de segurança para as senhas. Um hacker comentou ao Motherboard que já estava com este material em mãos, porém.

Esta é só mais uma entre as chamadas "mega-invasões" a serem reveladas. Neste verão, centenas de milhões de registros de sites como LinkedIn, MySpace, Tumblr, e VK.com de invasões antigas foram vendidos e trocados entre hackers.

Tradução: Thiago "Índio" Silva