Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dropbox treft maatregelen na diefstal mailadressen - update

Dropbox heeft erkend dat er recentelijk e-mailadressen van gebruikers zijn buitgemaakt die daarna door spammers gebruikt zijn. De clouddienst werkt nu aan two-factor-authentication om inloggen veiliger te maken.

Dropbox logo (60 pix)Halverwege juli kwam naar buiten dat verschillende Dropbox-gebruikers spam ontvingen op een e-mail-adres dat alleen voor de clouddienst in gebruik was. Kort daarna maakte het bedrijf bekend dat het geen bewijs van een hack had kunnen vinden, maar dat er nog verder onderzoek naar de kwestie gedaan zou worden. Naar aanleiding van dat onderzoek blijkt nu dat de dienst niet gehackt is, maar er wel een lijst met e-mailadressen is buitgemaakt dat op het account van een Dropbox-medewerker stond.

In een blogpost erkent het bedrijf dat er recentelijk op verschillende Dropbox-accounts is ingelogd met inlognamen en wachtwoorden die bij andere websites gestolen waren. Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf denkt dat deze lijst gebruikt is om de spammails te versturen. Dropbox biedt op het blog zijn excuses aan en zegt dat er maatregelen zijn genomen die dergelijke situaties in de toekomst moeten voorkomen.

Daarnaast gaat de dienst de komende periode zijn beveiliging aanscherpen en inloggen moet veiliger worden door de implementatie van two-factor-authentication. Hierbij moet een gebruiker niet enkel een password invoeren, maar ook een andere code, die bijvoorbeeld via sms verzonden kan worden. Deze mogelijkheid zal als optie aangeboden worden. Daarnaast wordt gebruikers geadviseerd om per website een uniek wachtwoord te gebruiken, zodat situaties als deze voorkomen kunnen worden.

Ook komt er een nieuwe pagina waar gebruikers de actieve login-sessies van hun account kunnen zien, waardoor eventuele logins met gestolen wachtwoorden sneller opgemerkt worden. Dropbox bouwt in aanvulling hierop ook nieuwe systemen die verdachte activiteit moeten herkennen.

Update, 09:38: In het oorspronkelijke bericht stond dat Dropbox gehackt zou zijn, dit klopt niet. De gegevens waarmee hackers op accounts van Dropbox-gebruikers konden inloggen waren bij andere websites gestolen.

Door Wout Funnekotter

Hoofdredacteur

01-08-2012 • 09:08

115 Linkedin Google+

Reacties (115)

Wijzig sortering
In een blogpost erkent het bedrijf dat hackers recentelijk hebben ingebroken en daarbij gebruikersnamen en wachtwoorden hebben verzameld
In de bewuste blogpost van dropbox staat iets anders, namelijk:
Our investigation found that usernames and passwords recently stolen from other websites were used to sign in to a small number of Dropbox accounts. We’ve contacted these users and have helped them protect their accounts.
Het artikel op tweakers doet vermoeden dat er ingebroken is bij dropbox zelf, dat blijkt dus niet helemaal juist.

Verder kan je als dropbox zijnde vrij weinig doen aan gebruikers die overal dezelfde username/password combinatie gebruiken. Dat het je eigen werknemers betreft is natuurlijk niet handig, maarja, ook dropbox zal wel marketingmedewerkers in dienst hebben die wellicht niet zo heel technisch onderlegd zijn. Jammer dat ze daar als bedrijf onvoldoende maatregelen voor nemen. Net zoiets als de lijst met e-mail adressen, ook erg onhandig om dat op die plek op te slaan, het is een behoorlijke 'multiplier' qua schade als het misgaat, maar dat hebben ze daar nu vast ook door...
De zoveelste hack op X bedrijf. Mensen die hun wachtwoord(en) eigenlijk nooit veranderen en overal dezelfde gebruiken lopen de grootste risico.

Je kan hier controleren of je uberhaupt ergens op een lijstje gevonden bent:

http://pwnedlist.com/

Je kan als je deze site niet vertrouwd ook een SHA-512 hash meegeven. Die kan je hier maken.

Zowiezo raad ik mensen aan om voor elke website een ander email adres + wachtwoord te gebruiken.

Veel email addressen kan je bijvoorbeeld door een catchall in te stellen op je domeinnaam. Hierdoor komt dan alles wat voor de @'tje staat in 1 mailbox terecht. Een handige manier is dan dus ook bijvoorbeeld voor dropbox je account email: "dropbox@domein.nl" aan te maken.

Zo weet je meteen als er naar dat adres spam verstuurd wordt of die partij gehacked is. Of je prive gegevens heeft doorverkocht/doorgegeven aan derde partiijen. Ok, dat is niet 100% zeker maar het geeft een indicatie dat er iets fout is gegaan daar.

En wachtwoorden opslaan kan je het beste doen met een keystore/keychain tool. Er zijn er genoeg. Zo hoef je niet zelf voor elke website dat stomme wachtwoord te onthouden.

[Reactie gewijzigd door Phoenix_the_II op 1 augustus 2012 09:22]

Tweakers, hebben jullie dat blogbericht eigenlijk gelezen?

Dropbox heeft helemaal niet toegegeven gehackt te zijn.

Volgens het Dropbox blog zijn usernames en wachtwoorden van andere sites gebruikt om in te loggen op Dropbox accounts. Dit is mogelijk omdat veel mensen dezelfde usernames en passwords gebruiken.

Op deze manier is ingelogd bij een werknemer van Dropbox die deze lijst met e-mail adressen had geupload op zijn Dropbox account.

Waar hebben jullie gelezen dat Dropbox gehackt is? Erger nog: waar lezen jullie dat Dropbox toegeeft gehackt te zijn? Er staat helemaal niets daarover in hun blog.

offtopic:
(Ik erger mij de laatste tijd wel meer aan compleet onjuiste berichten op tweakers, overgens..)


[Edit:] EnigmA-X was net iets eerder..

[Reactie gewijzigd door Sorcix op 1 augustus 2012 10:35]

Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin emailadressen van een onbekend aantal gebruikers.
En waarom in godsnaam zou iemand dat doen?

Wel mooi dat ze het willen toegeven dat ze zo redelijk in de fout zijn gegaan, maar ik mag hopen dat die persoon ten minste een fikse uitbrander heeft gekregen of misschien zelfs aan de deur is gezet. Er is geen enkele reden denkbaar om productiegegevens zo maar ergens te kopiëren.
Je doet het nu voorkomen of Single-Sign-On en two-factor-authentication twee zaken zijn die elkaar uitsluiten, terwijl dat helemaal niet zo is.

Single-Sign-On is een term die wel vaker verkeerd begrepen wordt, maar doelt op mechanismes waarbij je één keer per sessie jezelf authenticeert en vervolgens toegang krijgt tot allerlei systemen, waarbij de authenticatie verder op de achtergrond plaatsvindt middels federatieve technieken.

Die eerste keer authenticeren voor Single-Sign-On kan prima met behulp van twee factoren zijn. Zonder dat je daarmee afbreuk doet aan het Single-Sign-On principe.

Natuurlijk is two-factor authenticatie wel bewerkelijker voor de gebruiker dan single factor, maar met Single-Sign-On heeft het weinig te maken.
Stel je zit op kantoor, en je zoekt een bestand. Maar wat blijkt, die staat op je thuis PC, en had je dus op een USB stick gezet die je nog steeds op je bureau hebt liggen.

Wat fijn dat ie inmiddels al gesynced is en op je werk computer staat. Dat is het voordeel van dropbox.

Ik, als webdeveloper, heb sommige van mijn prive projecten in dropbox staan (en mijn localhost webserver wijst naar die map) waardoor ik op meerdere computers (werk/thuis/bij mn ouders) bij die bestanden kan en vrolijk verder kan developen zonder dat ik steeds usb sticks of harde schijven hoef mee te zeulen.

Verder heb ik ook concerttickets op dropbox staan, zodat ik ze naar voren kan toveren op mijn telefoon wanneer ik bij de deur sta en geen tijd gehad heb om ze te printen (of ik ze vergeten ben).

OT :Erg kwalijk overigens deze hack. Maar hoe veilig je systeem ook is, er zullen altijd mensen in kunnen komen. Wel weer erg goed dat ze werken aan betere beveiliging. Straks eerst maar dubbele authenticatie aanzetten.
Ik ben het deels eens met je mening. Vroeger waren sommigen dingen ook beter, maar……..

Dat gegevens zich naar de Cloud verplaatsen is een logische evolutie lijkt me. Internet neem je mee tegenwoordig en heb je in je broekzak. Je kunt 24/7 in principe bij je gegevens en gegevens van anderen. Dat biedt mogelijkheden en nieuwe business-modellen, maar vooral gebruikersgemak. Geen usb-sticks, geen flash-cards en vooral niet verbinden met je PC om data te synchroniseren.

Clouddiensten beginnen steeds volwassener te worden en dat geldt tevens voor de security mogelijkheden, (zie Google’s implementatie voor 2way authenticatie).

Een voordeel van de explosieve toename aan hacks is het feit dat er awareness wordt gecreëerd bij de gebruiker en vooral de getroffen bedrijven. Als gebruiker kun je Cloud-diensten gebruiken, maar zorg er voor dat je daar (voor jouw) niet kritische data opslaat. Mocht het onverhoopt een keer verkeerd aflopen dan is de schade beperkt.

En ja je levert een deel van je privacy in maar dat je vooralsnog vrijwillig volgens mij als je gebruik maakt van de betreffende --meestal gratis- dienst. Hoewel het ‘gratis’ je betaalt met je privacy namelijk. Als sommigen en plein air posten dat ze van periode x tot en y op vakantie gaan en vervolgens wordt hun huis leeggehaald is het toch echt stupiditeit van de gebruiker en niet de tool of dat het vroeger beter was.Vroeger kon je dat inderdaad niet gebeuren of je moest met een bord om je nek lopen met je vakantiedata erop.

Ja het gebruik van internetdiensten gaat gepaard met -soms gevoelige- privacy aspecten, maar weegt dit op tegen de mogelijkheden die het internet de afgelopen decennium heeft kunnen bieden en dat nog steeds doet. Net als de mensheid bijvoorbeeld de stenentijdperk heeft meegemaakt of de industriële revolutie (die China wederom doorloopt).
Maken wij nu deel uit van de informatierevolutie en zoals velen “revoluties” daar zitten nadelen aan, maar het over grote deel biedt mogelijkheden en kansen.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Televisies

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True