Kilka dni temu dostałem wiadomość e-mail z serwisu/usługi DropBox, że ponoć dawno nie aktualizowałem swojego hasła do konta, i z tego powodu “wyłącznie w ramach działań zapobiegawczych” poproszą mnie o taką zmianę przy najbliższym logowaniu.

Nie poprosili, ale jeśli z jakiegoś serwisu dostaje tego typu wiadomość, to wiem, że zazwyczaj nie są to działania “wyłącznie zapobiegawcze”, a wyciekła do internetu baza danych użytkowników danego serwisu…

DropBox: Resetowanie haseł z połowy 2012 r. i wcześniejszych

Nieprzypadkowa jest też data, która pojawia się w wiadomości – bo dlaczego “od połowy 2012”, a nie np. stycznia, albo połowy 2010? Odpowiedź sama się nasuwa, gdyż w tamtym okresie (lipiec-sierpień 2012) zaczęły pojawiać się informacje o prawdopodobnym wycieku danych z DropBoxa, a konkretnie nazwach użytkowników (adresy e-mail) i hasłach, choć na szczęście w formie niejawnej…

DropBox w wiadomości sprzed kilku dni dalej jakby udaje, że nic się nie stało:

Witaj, Patryk,

chcemy Cię poinformować, że nie aktualizowałeś(aś) swojego hasła Dropbox od połowy 2012 r.; poprosimy Cię o zaktualizowanie go przy następnym logowaniu. Jest to działanie wyłącznie zapobiegawcze, bardzo przepraszamy za ewentualne niedogodności.

Aby dowiedzieć się więcej na temat tego, dlaczego wprowadzamy takie środki ostrożności, odwiedź tę stronę w naszym centrum pomocy. Jeśli masz jakieś pytania, skontaktuj się z nami pod adresem [email protected].

Dziękujemy
Zespół Dropbox

Choć już na stronie, do której znajduje się link w wiadomości znajdziemy informacje, że jednak to “działanie wyłącznie zapobiegawcze” nie jest tylko i wyłącznie zapobiegawcze:

Nasze zespoły ds. bezpieczeństwa stale wypatrują nowych zagrożeń dla użytkowników. W ramach tych czynności dowiedzieliśmy się niedawno o starym zbiorze poświadczeń użytkowników Dropbox (adresów e-mail oraz zahashowanych haseł z ciągiem zaburzającym), które według nas zostały pozyskane w 2012 r.

Gdy dwa tygodnie temu dotarły do nas pierwsze pogłoski o tym zbiorze, natychmiast zaczęliśmy wyjaśniać sprawę. Następnie wysłaliśmy e-maile do wszystkich użytkowników, których według nas dotyczył ten problem, i przeprowadziliśmy proces resetowania hasła u tych użytkowników, którzy nie aktualizowali hasła od połowy 2012 r. Zresetowanie daje pewność, ze nawet w przypadku złamania tych haseł nie będzie ich można użyć w celu uzyskania dostępu do kont Dropbox.

Nie wiem po co w takim razie to czarowanie, ale… mniejsza z tym, choć oczywiście nie jest to zachowanie, z którego warto brać przykład.

Have I been pwned? Yes!

Kilka dni po wiadomości z DropBoxa otrzymałem wiadomość z serwisu “Have I been pwned?”, który pozwala monitorować, czy nasz adres e-mail nie znalazł się w jakiejś opublikowanej paczce z tego typu danymi:

You’ve been pwned!

You signed up for notifications when your account was pwned in a data breach and unfortunately, it’s happened. Here’s what’s known about the breach:

Breach: Dropbox
Date of breach: 1 Jul 2012
Number of accounts: 68,648,009
Compromised data: Email addresses, Passwords
Description: In mid-2012, Dropbox suffered a data breach which exposed the stored credentials of tens of millions of their customers. In August 2016, they forced password resets for customers they believed may be at risk. A large volume of data totalling over 68 million records was subsequently traded online and included email addresses and salted hashes of passwords (half of them SHA1, half of them bcrypt).

Jak widać nie jestem osamotniony, bo dane mojego konta (a przynajmniej adres e-mail) znalazł się na liście wraz z prawie 69 milionami innych kont.

Tak naprawdę niespecjalnie się tym przejąłem, bo wszędzie gdzie mogę mam aktywne uwierzytelnienie dwuskładnikowe (2FA), tal więc i również w usłudze DropBox, a więc sam adres e-mail i hasło (jeśli/gdy zostanie rozszyfrowane) to za mało by się zalogować na moje konto – potrzebny jest jeszcze jednorazowy kod.

Oczywiście problem mógłby być w sytuacji, gdybym ze skompromitowanej pary login-hasło korzystał w jakimś innym serwisie, gdzie nie ma możliwości aktywacji uwierzytelnienia dwuskładnikowego. Ale na to nic nie poradzę, a jeśli mam w takim serwisie takie samo hasło jak w DropBoxie w połowie 2012 to znaczy, że nie jest to raczej zbyt istotny dla mnie serwis/usługa… :-)

Wprawdzie serwis “Have I been pwned?” potwierdził, że mój adres e-mail znajduje się w bazie, to wygląda na to, że DropBox wiadomości wysyłał do wszystkich użytkowników, zwłaszcza tych, co mieli konta przed wyciekiem, gdyż:

• Hasło do usługi DropBox na pewno zmieniałem po tej dacie
• Po zalogowaniu się na swoje konto – wbrew informacji z wiadomości e-mail – nie zostałem poproszony o zmianę hasła
• Mam aktywną usługę uwierzytelnienia dwuskładnikowego, choć to raczej nie ma znaczenia

Co robić, jak żyć?

Jeśli również Wasze dane znalazły się w wycieku, to na pewno “na wszelki wypadek” warto zmienić hasło, choć może nie tyle do DropBoxa, co do innych serwisów, gdzie korzystacie z takiej samej pary. A w DropBoxie (i nie tylko) aktywujcie sobie koniecznie uwierzytelnienie dwuskładnikowe.

Zmiana hasła to nic strasznego

Na szczęście zmiana hasła nie oznacza tego, że teraz w każdym innym urządzeniu, w którym korzystamy z DropBoxa będziemy musieli przeprowadzić taką operację, bo choć z DropBoxa korzystamy nie tylko za pomocą przeglądarki internetowej, ale i – a może przede wszystkim – na komputerze stacjonarnym, laptopie, tablecie, smartfonie, a być może i w telewizorze. Do tego z kontem połączonych jest wiele zewnętrznych serwisów/usług, to ew. zmiana hasła nie jest problem, bo wszystkie te aplikacje/usługi nie korzystają przy każdym uruchomieniu/łączeniu z naszego hasła, a korzystają albo z nadanego uwierzytelnienia (zewnętrzne serwisy/usługi), lub ze specjalnego pliku-klucza, który zapisany jest na urządzeniu, i na podstawie którego następuje autoryzacja.