Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack

Op Pastebin zijn honderden accountnamen en wachtwoorden van Dropbox-gebruikers verschenen en de personen achter de publicatie beweren dat er 7 miljoen accounts getroffen zijn. Volgens Dropbox gaat het echter om oude gegevens die via derde partijen bemachtigd zijn.

Onder de noemer 'Dropbox hacked' verschenen vierhonderd accountnamen en bijbehorende wachtwoorden op Pastebin. Volgens de mensen achter de publicatie ging het om een voorproefje: in totaal zouden 7 miljoen accounts gehackt zijn. Door bitcoins te doneren zouden meer publicaties volgen. "Hoe meer bitcoins gedoneerd worden hoe meer logins en wachtwoorden publiekelijk verspreid worden", aldus de personen.

In een verklaring stelt Dropbox echter helemaal niet gehackt te zijn. "De gebruikersnamen en wachtwoorden zijn helaas gestolen van andere, ongerelateerde diensten en ze zijn gebruikt bij pogingen om in te loggen bij sites op internet, waaronder Dropbox", aldus de mededeling. De opslagdienst zou het misbruik al eerder op het spoor zijn gekomen en de wachtwoorden zouden al verlopen zijn. "Dit soort aanvallen zijn de reden dat we adviseren om niet dezelfde wachtwoorden te gebruiken voor meerdere diensten", verklaart Dropbox verder en ook adviseert de dienst tweestaps authenticatie te activeren.

IT-banen

Reacties (38)

justkuu 14 oktober 2014 09:09

Dit heeft mij in ieder geval laten nadenken over de veiligheid van Dropbox. Ik heb alsnog maar de dubbele verificatie geactiveerd. Kan natuurlijk nooit kwaad.

Mr.Monk @justkuu • 14 oktober 2014 09:12

maar dit heeft niets met de beveiliging van Dropbox te maken. ff artikeltje lezen

, of bovenstaande comments

LOTG @Mr.Monk • 14 oktober 2014 09:19

Nee, dat is wat Dropbox beweert.
Ik vind het nogal dubieus dat er 7 miljoen accounts zijn bemachtigd die allemaal werken op Dropbox. Ik snap dat veel mensen dezelfde login gegevens gebruiken, maar er moet dan toch ergens bij Dropbox dan iets te vinden zijn dat er vanaf een aantal IP adressen wel erg veel login attempts gedaan zijn, je weet immers niet of ze werken tot dat je het probeert.

En waarom beweren Dropbox gehackt te hebben als je het ergens anders vandaan hebt?

i-chat @LOTG • 14 oktober 2014 09:33

en je hebt nooit gehoord van overdrijvende pubertjes die snel bitcoins denken te scoren,

en bovendien als je gesloten usernames en passwords weet te scoren met een script waarbij dergelijke gegevens tegen dropbox worden getest, zou je kunnen zeggen dat bij alle gelukte pogingen de accounts daadwerkelijk zijn 'gekraakt' de gebruikte methode (of dat nu social engeneering is, of inbreken in databases, zodra je binnen bent is het doel berijkt.

Armin

Netwerk en systeembeheer

@LOTG • 14 oktober 2014 18:16

Ik vind het nogal dubieus dat er 7 miljoen accounts zijn bemachtigd die allemaal werken op Dropbox. Ik snap dat veel mensen dezelfde login gegevens gebruiken, maar er moet dan toch ergens bij Dropbox dan iets te vinden zijn dat er vanaf een aantal IP adressen wel erg veel login attempts gedaan zijn, je weet immers niet of ze werken tot dat je het probeert.

Er zijn alleen dit jaar al meer dan een miljard (!!!) login's gejat. Met name die talloze forums, kleine webwinkels en willekeurige internet diensten waar je een wachtwoord voor nodig hebt, worden aan de lopende band gehacked.

Dus als jij een batch koopt/vindt/download (grote kans dat de hacker niet eens zelf de echte hacker was maar het gedownload heeft op een van de talloze underground sites) dikke kans dat daar o.a. dropbox bij zit. Hack je dan een gerelateerde dienst / app is het al snel raak.

EDIT: en inderdaad, dropbox heeft nu aangegeven dat een deel niet eens van hen is:

https://blog.dropbox.com/2014/10/dropbox-wasnt-hacked/

A subsequent list of usernames and passwords has been posted online. We’ve checked and these are not associated with Dropbox accounts.

En waarom beweren Dropbox gehackt te hebben als je het ergens anders vandaan hebt?

Dat beweerde de 'hacker' dan ook niet. Maar talloze media nam dat aan, en de hacker sprak het niet tegen

[Reactie gewijzigd door Armin op 30 juli 2024 03:03]

Cergorach @LOTG • 14 oktober 2014 09:35

Ik ben behoorlijk paranoid, maar een anonieme groep mens op hun woord geloven dat er 7 miljoen Dropbox accounts zijn terwijl ze er maar 400 laten zien. En er vervolgens meer geld voor willen hebben om ze allemaal te laten zien. Waarom doen ze dat? Geld, aandacht, hekel aan Dropbox? Hoe doe je dat? Je pakt een lijst van tientallen miljoenen user accounts met wachtwoorden dei gehackt zijn van verschillende andere diensten en gaat die allemaal proberen via een zombienetwerk op Dropbox.

Kan natuurlijk altijd zijn dat Dropbox inderdaad gehackt is, maar dan zou ik wel iets meer bewijs willen zien...

Anoniem: 126717 @LOTG • 14 oktober 2014 09:39

Ik vind het nogal dubieus dat er 7 miljoen accounts zijn bemachtigd die allemaal werken op Dropbox.

Er staan er honderden op Pastebin. En degene die ze gepost heeft beweert er meer te hebben. Maar dat is niet bewezen. Ik kan ook beweren Gmail logins te hebben en die publiceren, bijvoorbeeld mijn 7 accounts. En dan claimen er duizenden te hebben, kijk maar, deze werken!

Dropbox is in deze eigenlijk helemaal geen partij. Als ik de logingegevens van 1 site van mijn collega heb kan ik waarschijnlijk op al zijn accounts inloggen, inclusief zijn bank. Hij gebruikt nog een agenda voor het opschrijven van alle gegevens, dus het is makkelijk te controleren. (Wat ik niet ga doen.)

RGAT @LOTG • 14 oktober 2014 15:21

Maar waarom geloof je een anonieme hacker wel op zijn woord dat hij 7 miljoen login gegevens heeft bemachtigd, maar de plek waar je je data stalt niet?...
Op je vraag waarom iemand zou beweren Dropbox te hebben gehackt, tja, Dropbox is groot, dus veel aandacht voor je hack, en er stond in het artikel iets over betalen met bitcoins, niet veel uitleg over het waarom hierin nodig

justkuu @Mr.Monk • 14 oktober 2014 09:19

Ik heb het artikel gelezen uiteraard. Op het moment dat ik reageerde zag ik nog maar één andere comment.

En mijn reactie heeft wel degelijk te maken met het artikel. Ondanks dat het niet de schuld van Dropbox zou zijn VOLGENS dropbox weet je als gebruiker nooit echt zeker wat wel en niet waar is. Het eerste wat een groot bedrijf roept bij een degelijk voorval is "Het ligt niet aan ons" en vaak komt alsnog naar voren dat het vaak wel zo was. Maar, zoals ik al zei. We weten het niet zeker.

Dus mag ik zeggen dat dit mij aan het denken heeft gezet over het inschakelen van de dubbele verificatie. Zoals ik in mijn comment zei: Het kan nooit kwaad.

Mr.Monk @justkuu • 14 oktober 2014 09:36

dubbele verificatie is sowieso een goed plan, en kan zeker nooit kwaad.

Marco_Dijk 14 oktober 2014 09:25

Ik hoorde vanmorgen alleen van een mogelijke hack en dit zette mij er toe aan mijn wachtwoord van Dropbox ook maar eens te checken/updaten.

Klaarblijkelijk mag je voor je Dropbox account nog steeds volstaan met een wachtwoord met een lengte van 6 tekens, zonder hoofdletters, cijfers of speciale tekens. Dit verbaasde mij nogal! Zelfs voor het eerste het beste spelletje moet je een sterker wachtwoord verzinnen dan dit, maar bij Dropbox maakt het blijkbaar allemaal niet uit...

[Reactie gewijzigd door Marco_Dijk op 30 juli 2024 03:03]

i-chat @Marco_Dijk • 14 oktober 2014 09:36

lol ik weet niet meer wat het was, maar ik had een tijdje terug dat ik een wachtwoord wilde wijzigen, en het systeem me zelfs letterlijk tegenwerkte in het kiezen van eeen sterk wachtwoord 6 tot 12 alphanumerieke tekens geen punten streeptjes en overige meuk... tja toen begon ik toch te twijfelen

Iftert @Marco_Dijk • 14 oktober 2014 09:34

Ik vind het juist heel irritant als een app voor mij gaat bepalen hoe mijn wachtwoord er uit zou moeten zien. Wil ik een wachtwoord hebben van 6 tekens, dan neem ik een wachtwoord van 6 tekens.
Wel zou je als app dan kunnen zeggen : Je wachtwoord is kort, wij raden aan om een langere te nemen. ipv je wachtwoord moet 2 cijfers, 2 tekens 2 hoofdletters en 2 kleine letters bevatten. (is namelijk ook schijnveiligheid, want langer is beter)

Darkfreak 14 oktober 2014 09:28

Ik heb alsnog eindelijk eens mijn wachtwoord veranderd (hoofdletter, kleine letter, cijfers en speciale leestekens), mijn nieuwe e-mail adres ingesteld en two-factor-authentication aangezet. Kan nooit schaden en mocht ook wel na 3 jaar

crazylemon 14 oktober 2014 13:07

Begint steeds meer te lijken op een Joomla 1.1 scriptkiddies hack. Waarbij de gegevens naar een hoger niveau gepimpt worden. Wat grappig is is om te zien hoe verschillende providers hiermee omgaan. Hulde aan xs4all in dit geval (weer).

gis. 14 oktober 2014 09:37

Deze lekken zijn schering en inslag dit jaar, voor mijn gevoel veel vaker dan de afgelopen jaren.

Is er al ergens een website opgezet, waar ik kan checken of mijn e-mailadres ook 'buitengemaakt' is?

- edit: betrouwbare website ;-)

[Reactie gewijzigd door gis. op 30 juli 2024 03:03]

Graggor @gis. • 14 oktober 2014 09:42

Jazeker, er zijn er genoeg. Hoeft alleen maar even je email en wachtwoord in te voeren om te kijken of je er tussen zit.

dabrainz @Graggor • 14 oktober 2014 10:11

Jammer genoeg zijn er zat mensen die in dit soort ongein trappen...

gis. @Anoniem: 302586 • 14 oktober 2014 13:54

Die website lijkt niet erg up to date;)

rodebest @gis. • 14 oktober 2014 15:35

Ik sta er wel twee keer op met adobe en win7vista ;p

BoringDay 14 oktober 2014 16:28

Ach Vandaag ontving ik ook een brief van me provider dat er gebruikersaccount gegevens afgelopen zomer waren gestolen.

Het probleem is vaak, deadlines, niet volledig testen en die methodiek moeten we af. Dan maar iets hogere kosten ipv half werk.

michiel_ @SF750 • 14 oktober 2014 09:10

"De gebruikersnamen en wachtwoorden zijn helaas gestolen van andere, ongerelateerde diensten en ze zijn gebruikt bij pogingen om in te loggen bij sites op internet, waaronder Dropbox"
Kortom: Dropbox heeft z'n beveiliging op orde. Gebruikers hebben deze naam/wachtwoord combinatie gebruikt voor verschillende diensten.

Civil @michiel_ • 14 oktober 2014 11:31

Mijn accountnaam (e-mailadres) van Dropbox is uniek voor Dropbox en gebruik ik nergens anders. Het wachtwoord (inmiddels) ook. Hetzelfde geldt voor een 'werk' account dat ik voor Dropbox heb. Op beide adressen ontvang ik enorme hoeveelheden spam. Die gegevens kunnen eigenlijk alleen direct bij Dropbox achterhaald zijn.

Ik heb uiteraard de wachtwoorden aangepast zodra de eerste spam binnenkwam. En gebruik tegenwoordig overal unieke wachtwoorden. Maar ik heb toch echt al sindsdien mijn twijfels of Dropbox niet grootschalig is gehackt.

Ik ben dus niet echt verrast door dit bericht.

Zoop @Civil • 14 oktober 2014 12:15

Je wachtwoord veranderen gaat niet helpen tegen spam hoor (edit: tenzij je bang bengt dat Dropbox gehacked is, dat ze zo aan je emailadres zijn gekomen en mogelijk dan ook je wachtwoord. dit besefte ik pas nadat ik postte). Spambots zijn echt venuftig tegenwoordig, en het zijn er ook zo ontzettend veel, in veel gevallen weten ze je e-mail adres gewoon te raden door gewoon miljoenen zoniet miljarden e-mailadressen te 'proberen'. Ik kan ik het heel goed zien op mijn mailserver, daar draait een catchall account op, en daar komt spam binnen op pietje@emailadres.com, pietje1@emailadres.com, pietje2 etc. Uiteraard bestaan die adressen niet eens.

Zeer zeker als je een publieke dienst zoals gmail of hotmail gebruikt, daar zal je altijd spam op kunnen krijgen, ook al vertel je nooit iemand je emailadres. Dan bestaat ook nog de kans dat je zelf met iets geinfecteerd bent. Malware die naar iedere mogelijke e-mailadres zoekt die je waar dan ook invult.
Dus ik zou niet al te snel met de vinger wijzen hoor, het hele principe en manier van werken van e-mail is gewoon hopeloos achterhaald en spammen is veel ste makkelijk (zeker als je een botnetje tot je beschikking hebt).

[Reactie gewijzigd door Zoop op 30 juli 2024 03:03]

Dorank @Civil • 14 oktober 2014 13:50

Idem wat betreft emailadress voor dropbox, maar dat is jaren geleden al gelekt bij een vorige hack

drdelta @Civil • 14 oktober 2014 14:24

Mijn accountnaam (e-mailadres) van Dropbox is uniek voor Dropbox en gebruik ik nergens anders. Hetzelfde geldt voor een 'werk' account dat ik voor Dropbox heb. Op beide adressen ontvang ik enorme hoeveelheden spam.

Iedereen kan iedereen mailen. Uniek voor Dropbox hoeft alsnog niet "uniek" uniek te zijn. Indien jij een "unieke" dropbox.mail@domein.tld (oid) hebt, kan ik (en/of anderen) dit adres altijd nog raden.

Die gegevens kunnen eigenlijk alleen direct bij Dropbox achterhaald zijn.

Is daarom ook incorrect, iedereen kan namelijk mailen. Een "brute-force" spam mailtje kan ook gewoon verstuurd worden, zeker wanneer jij slechts een prefix gebruikt. Als je unieke codes (gegenereerde hashes bijvoorbeeld) gaat gebruiken, zoals bijvoorbeeld "3dpnun5394ui@domein.tld", dan is het natuurlijk onwaarschijnlijker, maar alsnog, mogelijk.

Zoop @drdelta • 14 oktober 2014 15:27

Als je unieke codes (gegenereerde hashes bijvoorbeeld) gaat gebruiken, zoals bijvoorbeeld "3dpnun5394ui@domein.tld", dan is het natuurlijk onwaarschijnlijker, maar alsnog, mogelijk.

Ik kan je vertellen dat de spambots zelfs dat soort naampjes proberen te raden. Het lijkt wel of ze simpelweg iedere mogelijke combinatie proberen (genoeg tijd en genoeg botnetjes, uiteindelijk worden er toch wel miljarden unieke e-mail adressen geprobeerd).

Civil @Zoop • 14 oktober 2014 18:33

De grap is juist dat op het catch all adres dat er in mijn geval achter zit alleen spam op 4 mail adressen binnenkomt. Waaronder de 2 Dropbox adressen.

Anders zou je echt op veel meer willekeurige probeersels spam krijgen.

Iftert @SF750 • 14 oktober 2014 09:10

Stel : Je hebt op je dropbox de zelfde instellingen als hotmail. Ze hacken hotmail, en proberen de zelfde inloggegevens op dropbox.

Daar kan Dropbox weinig aan doen natuurlijk he. (en dat bedoelen ze met 3e partij)

ShakerNL @Iftert • 14 oktober 2014 09:41

Als ze Outlook (Hotmail) hacken dan heb je sowieso een probleem, aangezien veel accounts van verschillende diensten, zoals Dropbox aan dat Outlook.com adres zijn gekoppeld en wachtwoorden gereset kunnen worden per email.

supersnathan94 @ShakerNL • 14 oktober 2014 10:55

Daarom heb ik mijn Hotmail account ook met een wachtwoord beveiligd wat ik zelf niet eens meer weet. Gelukkig kom ik er gewoon in met de opgeslagen credentials op telefoon en PC en als ik extern (openbare PC) wil inloggen gebruik de sms verificatie. Dit account is zo belangrijk als het gaat om wachtwoorden herstellen dat ik dit maar heb aangepast zodat ik er zelf nog moeilijk in geraak.

Anoniem: 429154 @ShakerNL • 14 oktober 2014 11:14

Maar dat is voor dit voorbeeld volstrekt irrelevant.

Folke @SF750 • 14 oktober 2014 09:10

Niet goed gelezen:
"Dit soort aanvallen zijn de reden dat we adviseren om niet dezelfde wachtwoorden te gebruiken voor meerdere diensten", afkomstig door wachtwoorden van andere diensten te proberen op Dropbox.

[Reactie gewijzigd door Folke op 30 juli 2024 03:03]

Kapitein Edward @SF750 • 14 oktober 2014 09:11

Dropbox gaat helemaal niet slordig met gebruikersgegevens om. Er staat dat de gegevens van derde partijen afkomstig zijn. Stel, jij gebruikt met dezelfde gegevens dropbox en yahoo mail. yahoo mail wordt gehackt, dan kun je dus vervolgens met de gehackte gegevens van yahoo ook in je dropbox terwijl er met dropbox zelf niets mis is!

Grootstyr @SF750 • 14 oktober 2014 09:12

Dat is niet wat DropBox zegt, DropBox geeft aan dat er elders op het internet bij een willekeurige derde partij gebruikersgegevens zijn gestolen. Deze gestolen gebruikersgegevens zijn vervolgens gebruikt om te kijken of ermee op DropBox ingelogd kan worden met dezelfde inloggegevens, de matches zijn vervolgens in een lijst gezet.

Niet echt iets waar DropBox wat aan kan doen dus, de gebruiker moet voor elke dienst een ander wachtwoord gebruiken om dit te voorkomen.

Op dit item kan niet meer gereageerd worden.

Dropbox: uitgelekte gebruikersgegevens zijn oud en niet afkomstig van hack

Lees meer

IT-banen

Reacties (38)

Sorteer op:

Weergave: