Dropbox verplicht gebruikers om 'oude' wachtwoorden aan te passen

Dropbox heeft een e-mail gestuurd naar zijn gebruikers met de boodschap dat sommigen hun wachtwoord moeten aanpassen. Dat moet in het geval het wachtwoord sinds 2012 niet meer is aangepast. De maatregel heeft te maken met een hack van jaren geleden.

Wie zijn Dropbox-wachtwoord sinds medio 2012 niet meer heeft aangepast krijgt bij de volgende keer inloggen de melding om een ander wachtwoord te kiezen. Dat doet het cloudopslagbedrijf uit voorzorg, zo blijkt uit een blogpost; dat er daadwerkelijk wachtwoorden of andere gebruikersgegevens zijn buitgemaakt, staat niet vast.

In 2012 was er namelijk een hack waarbij gebruikersaccounts op andere websites zijn buitgemaakt, waarmee ook is geprobeerd om in te loggen op Dropbox-accounts. Daarbij werd toegang gekregen tot een account van een medewerker, waardoor de hackers een lijst in handen kregen met e-mailadressen van gebruikers. Die klaagden vervolgens over spam, waarna een onderzoek werd ingesteld.

Nu blijkt dat de hackers ten tijde van dat incident mogelijk ook toegang hebben gekregen tot gebruikersnamen en versleutelde wachtwoorden. Omdat Dropbox daarom niet kan garanderen dat de accounts veilig zijn, moeten alle wachtwoorden die sinds het hackincident niet meer zijn aangepast, alsnog worden veranderd.

Dropbox

IT-banen

Reacties (101)

MISTERAMD 28 augustus 2016 17:20

Ik heb die email ook gekregen, maar had mijn wachtwoord al veranderd zoals ik van tijd tot tijd doe.
Ik heb nog nooit een email gekregen van Microsoft programma's (Office Live, waarin je online Office gebruikt in plaats van "offline"), Hotmail, Gmail of gelijkaardige programma's. Denk dat het gewoon voor de veiligheid is door dat ze vroeger problemen hebben gekend in verband met hacks.

Desalniettemin vond ik wel een blog over dit op de Dropbox website : https://blogs.dropbox.com...s-to-keep-your-files-safe

[Reactie gewijzigd door MISTERAMD op 24 juli 2024 01:05]

miicker 27 augustus 2016 11:43

Ik heb ook een email van dropbox ontvangen, waarin expliciet wordt gezegd dat het puur gaat om een preventieve maatregen en het dus niets te maken heeft met een hack.

Dit is de mail die ik ontvangen heb:

We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience.

To learn more about why we’re taking this precaution, please visit0 this page on our Help Center. If you have any questions, feel free to contact us at password-reset-help@dropbox.com.

Of dropbox liegt, of Tweakers moet het artikel even aanpassen.

houtig @miicker • 27 augustus 2016 11:46

Why did Dropbox prompt this password update?

Our security teams are always watching out for new threats to our users. As part of these ongoing efforts, we learned about an old set of Dropbox user credentials (email addresses plus hashed and salted passwords) that we believe were obtained in 2012. Our analysis suggests that the credentials relate to an incident we disclosed around that time.

Based on our threat monitoring and the way we secure passwords, we don't believe that any accounts have been improperly accessed. Still, as one of many precautions, we’re requiring anyone who hasn’t changed their password since mid-2012 to update it the next time they sign in.

In je eigen link hebben ze het echt over een hack.

[Reactie gewijzigd door houtig op 24 juli 2024 01:05]

rroovers @houtig • 27 augustus 2016 13:41

Het gaat hier denk ik om de Linkedin hack in 2012 (164 miljoen e-mails en passwords). Na vier jaar op het Darknet zijn de passwords en e-mails wat meer publiekelijk toegankelijk geworden. Verschillende grote IT-bedrijven prompten nu voor een password change.

nieuws: LinkedIn bevestigt dat logins van 117 miljoen leden in 2012 werden bu...

BlackHawkDesign @rroovers • 27 augustus 2016 16:40

Nope, er is ook een dropbox hack geweest. Per account heb ik een uniek enailadres met de naam van het bedrijf erin. Op beide adresse krijg ik spam..

YGDRASSIL

@BlackHawkDesign • 27 augustus 2016 18:45

en hackers zijn niet slim genoeg om bedrijfsnamen in emailaccounts te vinden en wijzigen in andere bedrijfsnamen?

laptopleon @YGDRASSIL • 27 augustus 2016 19:18

Niets is uitgesloten en ik weet niet hoe BlackHawkDesign dit aanpakt maar

hackers die het om spam gaat oogsten doorgaans gewoon alle mailadressen die ze kunnen vinden. Experimenteren kan natuurlijk maar catch-all geconfigureerde mailservers zijn de uitzondering dus dat levert doorgaans weinig op. Bovendien komen alle mailtjes dan in één bak terecht waarna de kans des te groter is dat ze als spam herkend (en behandeld) worden en
zijn emailadressen hoeven niet per se dropbox@domein.ext, google@domein.ext etc. te zijn. Zelf gebruik ik iets dergelijks maar niet zo simpel.

Theone098 @YGDRASSIL • 28 augustus 2016 08:30

Eeeuhhh.... Dan komt de e-mail niet aan.

dropbox@mijndomein.nl vs linkedin@mijndomein.nl

Tenzij je bij beide bedrijven een account hebt maar dat weet men niet en bij zoveel E-mail adressen ook geen sinecure om dat per persoon uit te zoeken.

LopendeVogel @rroovers • 28 augustus 2016 09:30

In het stukje gaat het duidelijk om Dropbox, daar waar er letterlijk over Dropbox gesproken wordt en het 1op1 van de Dropbox pagina afgehaald wordt

Iblies @houtig • 27 augustus 2016 12:30

Ik meen me te herinneren dat er een keer een database werd gehackt en dat daarmee toegang tot andere diensten kon worden verkregen omdat veel mensen vaak dezelfde combinaties aanhouden.

De bron hoeft niet direct bij Dropbox te liggen.

nieuws: Hacker 'Peace' biedt 200 miljoen Yahoo-accounts aan
Yahoo heeft ook een halve verwijzing naar een 2012

Gezien de bedrijven die je het nu gewoon opdringen lijkt me het probleem legitiem.

BlackHawkDesign @Iblies • 27 augustus 2016 16:38

Ik heb per account een uniek emailadres, met de naam van het bedrijf er in. Sinds 2012 krijg ik spam op me dropbox email, dus het ligt wel degelijk aan dropbox zelf

BannerFigurezZz @miicker • 27 augustus 2016 15:02

Ter aanvulling:

In de e-mail wordt niet gesproken van data verlies aan hun zijde. Daar staat vrijwel niets in vermeld, behalve het feit dat ze aanraden 'oude' wachtwoorden te wijzigen.

Volg je de link naar hun website voor een toelichting op het hoe en waarom,dan krijg je een verhaal waar bovenstaande post van @miicker onderdeel van is.

Daar wordt gesproken over gehashte en "beveiligde" wachtwoorden en e-mailadressen die ronddrijven op het web. Zij geven zelf aan dat die data mogelijk verloren is bij een incident uit 2012.

As part of these ongoing efforts, we learned about an old set of Dropbox user credentials (email addresses plus hashed and salted passwords) that we believe were obtained in 2012.

Volg je dan de link naar het nieuwsbericht over het incident uit 2012, dan volgt een ander verhaal. Eén waaruit blijkt dat onbevoegden toegang hadden gekregen tot het account van een Dropbox medewerker doordat die medewerker op meerdere websites hetzelfde wachtwoord gebruikten. Daarbij zouden echter, zo blijkt uit hun post uit 2012, geen wachtwoorden zijn buitgemaakt.

A stolen password was also used to access an employee Dropbox account containing a project document with user email addresses. We believe this improper access is what led to the spam. We’re sorry about this, and have put additional controls in place to help make sure it doesn’t happen again.

Kortom:
Dropbox is mogelijk ooit klantgegevens met wachtwoorden kwijtgeraakt. Dit hebben ze in eerste instantie ontkent en lijken ze nu (per ongeluk?) te erkennen. Alleen al in de tekst uit de eerste link staan meerdere tegenstrijdigheden.

Een alternatieve verklaring zou kunnen zijn dat de verkregen e-mailadressen uit het project van de werknemer zijn gebruikt in combinatie met hacks op andere bedrijven om een Dropbox user credentials database op te stellen.

Anoniem: 138895 @BannerFigurezZz • 30 augustus 2016 17:27

Wachtwoorden waren gehashed en salted, dus terecht dat dropbox beweert dat er geen wachtwoorden zijn uitgelekt. Het is namelijk niet eenvoudig om salted passwords te ontcijferen. Zonder salt hadden de hashes wel stuk makkelijker middels rainbow tables en brute force (makkelijkere wachtwoorden) achterhaald kunnen worden.

defixje @miicker • 27 augustus 2016 12:23

please visit0 this page

Typo in de mail?

ythehunter @defixje • 27 augustus 2016 12:33

Nee, dat komt omdat er een link achter zit, waardoor het kopiëren niet helemaal goed gaat.

wildhagen

27 augustus 2016 11:34

Als de hack in 2012 was, waarom nu dan pas dit afdwingen? Dab ben je al 4 jaar te laat.

Ook al wist je toen nog niet of men toegang tot de userdatabase had, zou men dit na elke hack puur om preventieve redenen al moeten doen.

FireDrunk

@wildhagen • 27 augustus 2016 11:46

Volgens de support pagina gaat het om gesalte + gehashte wachtwoorden. Misschien zag Dropbox de noodzaak om dit nu naar voren te brengen, omdat de toen gebruikte salt en hash methode met hedendaagse apparatuur misschien makkelijker te kraken was dan voorheen gedacht werd. Maar dat is pure speculatie.

supersnathan94

@FireDrunk • 27 augustus 2016 14:36

De in 2012 gepleegde hack van LinkedIn is nu pas echt gevaarlijk aan het worden nu de gegevens wat meer publiekelijk beschikbaar zijn. Het ging om gehashte passwords met salt (goed bezig dus in principe) dus de noodzaak om daar direct wat aan te doen was niet geheel noodzakelijk.

Pas nu is het echt vrij bekend dat gebruikers gewoon echt heel erg lui zijn en overal dezelfde PW gebruiken. Dat is nu zo vaak gebleken dat er nu pas ook echt wat aan gedaan wordt. FB en Netflix zijn er ook mee bezig.

LopendeVogel @supersnathan94 • 28 augustus 2016 09:35

Ja maar dan nog vind ik het vaag, al zat er een encryptie op die nog 10x sterker was, het is buitgemaakt.. Dan zou je normaal gesproken direct die mail de deur uit moeten doen indien je weet dat het ''gestolen'' is.

Het is natuurlijk schandalig als een bedrijf denkt: ja maar ach het is beveiligd, wel gestolen maar goed dat is allemaal niet belangrijk. We vergeten het en gaan verder.
4 jaar later denken ze ej uhm misschien toch niet zo slim, laten we even een mailtje de deur uit doen.
Ze hadden toen al een mail de deur uit kunnen doen met de melding dat de wachtwoorden beveiligd zijn maar ze toch adviseren die te wijzigen. Problem solved.

Iets met voorkomen en genezen, waarbij Dropbox voor genezen gekozen heeft (imo altijd fout vind ik).
Ze konden al niet voorkomen dat de wachtwoorden gestolen konden worden, en vervolgens laten ze het op de loop nadat ze gestolen zijn.. Ja nja dan maken ze 2x toch wel een klein foutje denk ik:P

[Reactie gewijzigd door LopendeVogel op 24 juli 2024 01:05]

supersnathan94

@LopendeVogel • 28 augustus 2016 11:30

Lees nog even goed. Dropbox is niet gehackt. De passwords zijn afkomstigd uit grote hacks van BV linkedIn, myspace en tumblr.

Gooi je deze enorme databases bij ekaar en ga je kijken welke gebruikersnamen en e-mailadressen gebruikt zijn, dan zie je veelal dezelfde passwords voorbij komen.

Het probleem is dan dus dat je zelf een van de beste algortimes kan hebben, maar als iemand hetzelfde wachtwoord heeft bij een bedrijf dat het in plaintext opslaat ben je alsnog de lul. En dat is dus hetgeen er hier gebeurd.

Bor Coördinator Frontpage Admins / FP Powermod @wildhagen • 27 augustus 2016 12:38

Er kunnen meerdere redenen zijn waarom men de hack niet naar buiten heeft gebracht. Vergeet ook niet dat de situatie en zelfs de wetgeving rond datalekken en dergelijke zaken vier jaar geleden nog heel erg anders was. Indertijd was het helemaal niet zo vanzelfsprekend dat bedrijven informatie over hacks en hackpogingen naar buiten brachten. Wellicht is men tot inkeer gekomen of dreigde de informatie via een minder gecontroleerde manier naar buiten te komen. Hoewel vier jaar schromelijk te laat is ben ik wel van mening dat ook hier geldt; 'beter laat dan nooit'.

WhatsappHack

Netwerk en systeembeheer

@Bor • 28 augustus 2016 00:41

Dat, en van sommige data thefts is men gewoon niet op de hoogte.

ythehunter @wildhagen • 27 augustus 2016 12:39

Het is niet Dropbox zelf dat gehackt is. Een andere site/dienst is gehackt, waarbij ze naam en ww hebben verkregen. Sommige mensen hadden op die site en Dropbox dezelfde naam en ww en dus konden mensen op beide diensten inloggen met die gegevens. Ik snap wel dat ze toen niet meteen gezegd hebben dat het verplicht is om een nieuw ww te nemen, want dan zou volgens die redenering elke website dat moeten doen elke keer als er ergens een website gehackt wordt.

M.Koers 27 augustus 2016 11:47

Ik heb 'm ook gehad, maar vermoede spam gezien de afzender no-reply@dropboxmail.com was.
Domeinnaam leek me niet te kloppen, blijkt dus iets anders te zijn.

Zeker gezien normaal alle mail vanuit dropbox gewoon afkomstig is van het dropbox.com domein.

[Reactie gewijzigd door M.Koers op 23 juli 2024 13:16]

yozgoesdigital @M.Koers • 27 augustus 2016 11:52

Hier in eerste instantie ook als spam gezien. Ik probeer nooit de links te gebruiken in email, maar los inloggen in de browser, je weet maar nooit.

Soldaatje @M.Koers • 27 augustus 2016 22:02

dropboxmail.com is van Dropbox en wordt ook gebruikt hiervoor.
Dit zijn de legitieme Dropbox-domeinen:

cloudfront.net (for downloads through the Dropbox desktop application)
db.tt
dropbox.com
dropboxapi.com
dropboxbusiness.com
dropboxdocs.com
dropboxforums.com
dropboxforum.com
dropboxinsiders.com
dropboxmail.com
dropboxpartners.com
dropboxstatic.com
dropbox.zendesk.com
getdropbox.com

https://www.dropbox.com/en/help/217

Zeehond FP PowerMod / FP Admin / Moderator Wonen en Mobiliteit @Soldaatje • 28 augustus 2016 16:39

het email adres welke wordt weergegeven waarvan de email afkomstig zou zijn kan ook gespooft zijn.

fortfort 27 augustus 2016 15:01

Blijkbaar monitoren ze maar weinig, ze sturen dit naar iedereen. Misschien handig om te kijken wanneer iemand zijn wachtwoorden geeft gewijzigd. En bijhouden of iemand niet bij wijziging het zelfde wachtwoord weer aanmaakt. En eventueel veel gebruikte wachtwoorden blokkeren.

Hoe dan ook geen van bovenstaande dus.

sHELL @fortfort • 27 augustus 2016 21:56

Wachtwoord veranderen is altijd een goed idee, dus waarom niet?

fortfort @sHELL • 27 augustus 2016 22:32

Wachtwoorden veranderen zorgt voor gedoe en daardoor risico op makkelijkere wachtwoorden.

Soldaatje @fortfort • 27 augustus 2016 22:45

Makkelijkere wachtwoorden kan je makkelijk voorkomen door eisen te stellen aan de complexiteit, zoals cijfers, hoofdletters, minimaal aantal tekens, geen bekende woorden, geen namen die te herleiden zijn tot de persoon, mag geen grote delen van een vorig wachtwoord bevatten.
Ok, het geeft wel wat gedoe, maar daar zijn wachtwoordbeheerders voor gemaakt.

Berendhoo @sHELL • 28 augustus 2016 04:53

Dat zou je zeggen, maar helaas is de praktijk weerbarstiger. Vaak een wachtwoord veranderen werkt vaak tegen. Probleem is dat mensen zich strikt gaan houden aan de regels maar altijd een manier vinden om op logische (en onthoudbare) manier hun wachtwoorden aan te passen. Dat werkt uiteindelijk dus niet want die logica is te achterhalen.

Argantonis @sHELL • 28 augustus 2016 06:54

Wachtwoord veranderen is altijd een goed idee, dus waarom niet?

Zoals anderen ook al zeiden is dit dus niet waar.
Voor mijn geval bijvoorbeeld is mijn dropbox wachtwoord complex maar ik weet het wel uit m'n hoofd. Dit is een van de weinige wachtwoorden die ik uit m'n hoofd weet, juist omdat de file van mijn password safe daar gehost is en ik daar altijd bij moet kunnen. Als ik geforceerd word weer een ander wachtwoord te nemen is er best een kans dat ik iets simpelers neem, juist omdat ik het me niet kan veroorloven om het te vergeten.

liberque 27 augustus 2016 12:09

Dropbox: ik kom er al jaren niet meer op. Had mooi tweetraps authenticatie aanstaan met een backup code en toen werd er ingebroken. Computers weg, mobieltjes weg (en nog een heleboel andere spullen). Dit betekende het einde van Dropbox met alle bestanden die daar zo mooi gebackupped stonden, want Dropbox wilt niet helpen mij toegang tot mijn account terug te verschaffen.

In de afgelopen jaren al meerdere malen email contact gehad, maar ze blijven steken op de standaard antwoorden. "Gebruik een computer waar u op ingelogd staat" - heb ik niet... "Gebruik uw backupcode" - heb ik niet want die stond op een usb stick die verdwenen is. Zelfs de vraag of ik niet gewoon een kopie van mijn paspoort kon opsturen werd negatief beantwoord. Daar doen ze niet aan.

Mijn advies dus aan andere gebruikers: zet tweetraps authenticatie niet aan want bij een inbraak ben je de lul tenzij je de backupcode op je arm laat tatoeëren en gebruik Dropbox zeker niet als backup medium want bij problemen ben je gewoon het haasje.

Jefrey Lijffijt @liberque • 27 augustus 2016 15:50

De two-factor authentication was aan speciefieke devices gekoppeld? Dat is eigenlijk niet te volgen en daar heb ik nog nooit van gehoord. Klopt dit echt?

Zoals elders gezegd: je telefoonnummer is nog steeds van jou, waarom zou je provider je niet gewoon een nieuwe sim voor hetzelfde nummer geven?

liberque @Jefrey Lijffijt • 27 augustus 2016 17:52

Was een prepaid nummer en kon destijds (we spreken al over jaren terug) dat nummer niet migreren.

liberque @Jefrey Lijffijt • 27 augustus 2016 17:55

Nee de tfa zorgde ervoor dat ik een sms kreeg op mijn gsm nummer. Dat nummer kon ik niet meer terugkrijgen (was een prepaid). Dan kan je kiezen bij dropbox voor herstel middels de herstelcode, maar die had ik dus ook niet meer.. en dat was bij Dropbox het einde van het verhaal.

Nibble @liberque • 27 augustus 2016 12:16

Ja dat is wel jammer maar dat is juist het hele idee van 2step natuurlijk. Backup codes of sleutels niet bij de bron bewaren...
Je maakt ook een offsite backup met een reden.

AriGold @Nibble • 27 augustus 2016 15:51

Jah ik ben al een tijdje aan het denken hoe ik dit best doe in mijn geval. Zelfs als ik bv een 2 step verificatie met een app zoals Google auth gebruik op men iPhone, helpt dit bitter weinig omdat ze indien mijn iphone stelen gewoon een nieuw pw kunnen aanvragen voor al mijn accounts omdat mijn email ook op de iPhone gekoppeld is.

Eens ze mijn iPhone hebben, is voor mij de twee factor al omzeep: wat ik heb (iPhone dus) hebben ze en wat ik weet (paswoord) kunnen ze recoveren.

Als Apple nu eens eindelijk een extra beveiliging (vb pincode) op hun mail app laat zetten...

liberque @Nibble • 27 augustus 2016 12:39

Nee en ik zeg ook niet dat ik een schoonheidsprijs verdien voor slimmigheid, maar tja.. wie verwacht er nu een inbraak. Echter dit was niet enkel het probleem bij Dropbox, maar ook bij bijvoorbeeld Blizzard - en deze deden helemaal niet moeilijk: stuur je paspoort op, beantwoord je geheime vraag en het was opgelost. Ik snap werkelijk niet waarom dit bij Dropbox wel zo moeilijk moet gaan. Aan 1 kant wellicht goed - ze nemen beveiliging serieus - maar aan de andere kant is het wel een beetje security door obscurity... want ik ben gewoon alles kwijt omdat ze geen oplossing willen bieden en dat steekt nogal.

Loekie

@liberque • 27 augustus 2016 12:59

Bij 2FA altijd een recoverymethode instellen, vziw is dat ook bij dropbox verplicht. Ik heb het ook al sinds introductie van 2FA bij dropbox in gebruik, maar als ik eens opnieuw moet inloggen ergens dan kan dat vrij eenvoudig.
Ik kreeg deze mail ook en heb 2FA aanstaan en het wachtwoord in afgelopen jaren wel een aantal keren gewijzigd(staat wel op zelfde als toentertijd).

liberque @Loekie • 27 augustus 2016 13:03

Dat klopt - je krijgt een backupcode. Deze code had ik voor de zekerheid op mijn mobiel gezet, op mijn pc en op een usb stick. Weinig kans dat je alle drie tegelijk kwijtraakt toch? Totdat er ingebroken wordt en je hele huis wordt leeggehaald... tja.. daar zit je dan...

Loekie

@liberque • 27 augustus 2016 13:08

Toch typisch idd.
Wilden ze ook niet 2FA uitzetten, dan heb je alleen wachtwoord nog dat je met iets dat je weet(geheime vraag) en wat je hebt(toegang tot email) kunt instellen?

liberque @Loekie • 27 augustus 2016 13:30

Nee ieder contact dat ik met ze gehad heb de afgelopen jaren erover (ik blijf proberen) is het enige dat ze doen me doorverwijzen naar een FAQ waarin staat dat ik tweetraps uit moet zetten op een computer waar ik ben aangemeld... net alsof ze mijn mails niet eens lezen

Bigg Balls @liberque • 27 augustus 2016 13:25

Wellicht een schrale troost, je verhaal doet mij beseffen dat ik eea aan ga passen qua 2FA.

Heb voor Apple bijvoorbeeld de code in 1password en ergens geprint maar die laatste moet ik misschien maar elders neerleggen.

liberque @Bigg Balls • 27 augustus 2016 13:33

Dat is dan ook de reden dat ik het hier plaatste zodat anderen 'aware' worden dat herstel onmogelijk lijkt als je alles kwijt ben. Dus het is geen schrale troost. Ik ben juist blij dat anderen iets kunnen leren van mijn 'fouten', want ik gun het niemand om alle foto's ed. van jarenlang kwijt te raken.

supersnathan94

@liberque • 27 augustus 2016 14:42

Is dat niet de reden waarom je offsite backups maakt? Voor het geval dat er iets gebeurt met de onsite apparatuur? Of dat nou een inbraak of blikseminslag is of een verwoestende brand maakt dan niet zoveel uit. De drie factoren, moeten gewoon niet in de buurt van elkaar liggen om wat te kunnen met het offsite gedeelte.

Nibble @liberque • 27 augustus 2016 12:52

Nee dat klopt wel, zeker als je een id kunt overleggen. Ik heb dit ook wel eens met steam voorgehad. Moet wel alles in drievoud en ondertekend maar het is idd wel mogelijk.

jphermans @liberque • 27 augustus 2016 14:50

Is het niet zo dat dropbox ook een sms kan sturen met je code?
Dus wanneer je mobieltje weg is en je haalt een andere met een nieuwe sim kaart dan kan je deze toch ontvangen ? Mobiel nummer blijft toch onveranderd.

rijk0214 @liberque • 27 augustus 2016 18:38

Dat is wel een beetje schraal van ze. Bij Google kun je zelfs informatie over de inhoud van je account geven om er uiteindelijk weer terug in te komen, dit wordt wel handmatig gecontroleerd iirc. (Met wie mail je veel, welke subject lines, etc)

Misschien kun je die route eens met dropbox proberen?

tszcheetah

27 augustus 2016 11:47

Ook deze mail gehad. Gebruik Dropbox eigenlijk nooit, was dus goed voor een "oh ja, daar had ik ook een account"-momentje.

Vreemd genoeg werd ik niet direct gedwongen m'n wachtwoord aan te passen bij het inloggen zoals volgens de mail zou moeten gebeuren. In plaats daarvan ben ik zelf maar naar de account settings gegaan om 't op te lossen.

icratox @tszcheetah • 27 augustus 2016 12:26

Er staat in de mail: 'ALS je sinds 2012 niet meer je wachtwoord verandert hebt, dan word je gevraagd bij inloggen om het te veranderen'.

Waarschijnlijk heb je dus in de afgelopen jaren wel een keer je wachtwoord veranderd, en dan is er dus niks aan de hand verder. Al kan het wel peace of mind geven om het toch nog eventjes te doen.

supersnathan94

@icratox • 27 augustus 2016 14:38

Om vervolgens weer het originele pw uit 2012 in te voeren.

zomaar je wachtwoord verandern om het te veranderen is niet handig. Je moet dan ook even rekening houden met passwords die je eerder ap hebt gebruikt.

icratox @supersnathan94 • 27 augustus 2016 14:46

Meen je deze reactie nou echt serieus? Ten eerste lijkt me dat nogal logisch. En daarnaast, waar heb IK het er in hemelsnaam over om het wachtwoord 'te veranderen om het te veranderen'...

[Reactie gewijzigd door icratox op 24 juli 2024 01:05]

supersnathan94

@icratox • 27 augustus 2016 14:54

De meneer waar jij op reageerde had een "oja daar had ik ook nog een account"

De kans is dan dus ook vrij groot dat het originele wachtwoord ook niet meer "in het geheugen" zat.

Al kan het wel peace of mind geven om het toch nog eventjes te doen.

Dat is een andere bewoording voor veranderen om te veranderen.

icratox @supersnathan94 • 27 augustus 2016 15:48

Dat is een andere bewoording voor veranderen om te veranderen.

Fout, dat is wat jij er van maakt. Het kan peace of mind geven het wachtwoord toch nog naar iets anders te veranderen als je niet meer zeker weet of je nu wel of niet een wachtwoord had in die tijd en sindsdien het niet meer veranderd hebt, of dat je toch voor de zekerheid een ander veilig wachtwoord kiest als je twijfelt.

Het is absoluut geen andere bewoording om 'te veranderen om te veranderen' en daarmee maar gewoon een eerder gebruikt wachtwoord te hergebruiken. Dat is wat jij er nu van maakt. Deze hele discussie lijkt te zijn gebaseerd op miscommunicatie/verkeerd lezen van mijn originele post. En zo moeilijk is het niet een volledig nieuw, of random wachtwoord te kiezen. Waar ik op doelde.

Daarnaast is het sowieso geen slechte oefening om wachtwoorden om de zoveel tijd te veranderen. Vooral als je voorheen zwakke wachtwoorden gebruikte. 4 jaar is dan al een lange periode.

[Reactie gewijzigd door icratox op 24 juli 2024 01:05]

Koennnn

27 augustus 2016 15:28

Niet als kritiek bedoeld, maar het valt me op dat menige Tweaker het bericht van Dropbox spontaan als spam beoordeelde. Daaruit zijn twee conclusies te trekken: ten eerste, veel verzendende bedrijven houden weinig rekening met de manieren waarop criminelen via e-mail mensen proberen te bedotten, en ten tweede, dat Tweakers best wat milder mogen zijn in hun kritiek op die domme burgers die overal maar op klikken.

Cerberus_tm

@Koennnn • 27 augustus 2016 16:28

Ik twijfelde ook. Maar de links verwezen echt naar dropbox.com, en ik hoefde verder niets te doen. Het vreemde is alleen dat ik dat bericht kreeg terwijl ik mijn wachtwoord in 2015 nog heb veranderd.

Verder vond ik het ook super irritant dat het eerst lijkt alsof ze dit "zomaar" doen, zonder reden, en dat je er pas na veel lezen achter komt dat ze gehackt zijn. Stom bedrijf, proberen het te verhullen in wollig taalgebruik.

Ik denk dat ik maar helemaal over ga op Owncloud/Nextcloud of Seafile, wat een gedoe allemaal! Kun je gratis hosten bij een provider van jouw keuze. Ik zit met Owncloud bij Blaucloud (2GB gratis, zit in Duitsland), en met Seafile bij Bobcloud.net (10GB gratis, zit in Engeland, maar ik zie net dat ze nu ook een kantoor in Amerika hebben...).

Het lijkt erop dat Seafile veel sneller is maar minder functies heeft (zoals agenda synchroniseren met Android?).

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 01:05]

supersnathan94

@Cerberus_tm • 28 augustus 2016 11:34

n dat je er pas na veel lezen achter komt dat ze gehackt zijn. Stom bedrijf, proberen het te verhullen in wollig taalgebruik

They're not hacked. Read again.

Cerberus_tm

@supersnathan94 • 28 augustus 2016 16:02

Ze zijn wel gehackt, ze zeggen het zelf hè.

supersnathan94

@Cerberus_tm • 28 augustus 2016 19:11

In 2012 was er namelijk een hack waarbij gebruikersaccounts op andere websites zijn buitgemaakt, waarmee ook is geprobeerd om in te loggen op Dropbox-accounts. Daarbij werd toegang gekregen tot een account van een medewerker, waardoor de hackers een lijst in handen kregen met e-mailadressen van gebruikers. Die klaagden vervolgens over spam, waarna een onderzoek werd ingesteld.

Hack was extern maar door de hoeveelheid domme mensen met hetzelfde wachtwoord bij meerdere accounts... De rest staat hierboven dus.

Cerberus_tm

@supersnathan94 • 29 augustus 2016 04:24

Oké, het hangt misschien van je definitie af. Maar het account van een medewerker van Dropbox is dus in handen gekomen van een kwaadwillende. Maar dat zeggen ze pas als je ver doorleest: aanvankelijk wordt het gebracht als een algemene beleidsmaatregel. Het wordt dus compleet verkeerd voorgespiegeld.

supersnathan94

@Cerberus_tm • 29 augustus 2016 07:36

En wat wil je dan gaan doen als je mail adres wordt gelekt? Je e-mailadres wijzigen? Het is jammer dat het is gebeurd maar er is niets tegen te doen. Dit was alleen een lijst met mailadressen (gelukkig). Wat die daar deed is mij sws al een raadsel maar dat terzijde.

Het veranderen van het wachtwoord staat daar verder volledig los van.

Cerberus_tm

@supersnathan94 • 29 augustus 2016 16:15

Why did Dropbox prompt this password update?

Our security teams are always watching out for new threats to our users. As part of these ongoing efforts, we learned about an old set of Dropbox user credentials (email addresses plus hashed and salted passwords) that we believe were obtained in 2012. Our analysis suggests that the credentials relate to an incident we disclosed around that time.

Based on our threat monitoring and the way we secure passwords, we don't believe that any accounts have been improperly accessed. Still, as one of many precautions, we’re requiring anyone who hasn’t changed their password since mid-2012 to update it the next time they sign in.

[Reactie gewijzigd door Cerberus_tm op 24 juli 2024 01:05]

supersnathan94

@Cerberus_tm • 29 augustus 2016 16:24

Een simpele google actie had je kunnen vertellen dat

Our analysis suggests that the credentials relate to an incident we disclosed around that time.

refereert naar dit:

"Our investigation found that usernames and passwords recently stolen from other websites were used to sign in to a small number of Dropbox accounts," ¹

En dit

The company says that hackers got user names and passwords when they broke into other websites. They used them to sign into "a small number of Dropbox accounts." Dropbox didn't say how many accounts were affected. It has already contacted the users it knows were compromised. ²

_{1 bron: http://arstechnica.com/se...wo-factor-authentication/}

_{2 http://www.businessinside...rd-right-now--2012-8?IR=T}

Cerberus_tm

@supersnathan94 • 29 augustus 2016 17:09

Zoals ik het lees wil Dropbox de wachtwoorden resetten in verband met die hack uit 2012. En dat vermelden ze niet waar je het zou verwachten.

supersnathan94

@Cerberus_tm • 29 augustus 2016 17:23

En die hack was dus niet van dropbox, maar van sites als LinkedIn en Yahoo.

De dropbox hack/leak van een medewerkers account omvatte alleen e-maildressen en heeft dus niets van doen met deze actie.

Overigens heeft dropbox in 2012 ook al een dergelijke actie op touw gezet, maar was dat toen voor een select aantal accounts. Nu er dusdanig veel meer mogelijke getroffenen zijn doen ze het dus nog een keer bij account die sinds 2012 geen PW change meer hebben gehad.

royb3 @Cerberus_tm • 27 augustus 2016 16:50

"Het lijkt erop dat Seafile veel sneller is maar minder functies heeft (zoals agenda synchroniseren met Android?)."

Zijn er mensen die dit via zo'n dienst doen in de tijd waar je je agenda via office 365 / google calendar / iCloud kan synchroniseren?

Unimproved @Cerberus_tm • 27 augustus 2016 18:03

Transip Stack is ook een optie. Gebruikt Owncloud en zit in Nederland.

Nathan13877 @Unimproved • 27 augustus 2016 19:50

Ik gebruik Transip Stack en ik vind het geweldig. Ik vraag me alleen wel af hoe 1tb gratis rendabel is.

Anoniem: 382732 @Nathan13877 • 27 augustus 2016 22:28

Niet. Er zal op termijn ook wel iets veranderen om het rendabel te maken. De strategie kan bijvoorbeeld zijn om eerst via "gratis" storage veel klanten te krijgen zodat de boel voor een leuk bedrag verpatst kan worden. Of op een gegeven moment, als voldoende klanten een substantiële hoeveelheid data hebben opgeslagen, de quota te verlagen en voor het meerdere geld te vragen.

jphermans 27 augustus 2016 13:09

Wat ik niet begrijp is dat je wanneer je een 2staps verificatie gebruikt je toch nog je paswoord dient te wijzigen (ik toch alvast). Heb al zovele jaren hetzelfde paswoord op dropbox en er staan geen belangrijke zaken op.

Loekie

@jphermans • 27 augustus 2016 13:13

Mjah, ik snap het wel, als je toch zo'n stap moet nemen als dropbox dan moet je het ook in 1 keer goed doen.
Daarnaast kan dropbox voor jou niet bepalen wat wel of niet belangrijk is.

jphermans @Loekie • 27 augustus 2016 14:47

Nee, heb je volledig gelijk in.

Sleurhutje 27 augustus 2016 13:47

Geen email gezien van Dropbox. Misschien vanwege het gebruik van multi-factor authenticatie? Elk aanmelding resulteert in een sms op mijn telefoon.

Soldaatje @Sleurhutje • 27 augustus 2016 21:35

Ik heb ook nog geen email gehad op mijn gmail, gebruik geen 2fa. Ook niet in de spambox, apart.
Misschien is de email wel spam die toevallig op hetzelfde moment gestuurd wordt?
In de blogpost van Dropbox staat ook niks over een email die gestuurd zou zijn naar gebruikers.

[Reactie gewijzigd door Soldaatje op 24 juli 2024 01:05]

Op dit item kan niet meer gereageerd worden.

Dropbox verplicht gebruikers om 'oude' wachtwoorden aan te passen

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: