Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Dropbox treft maatregelen na diefstal mailadressen - update

Dropbox heeft erkend dat er recentelijk e-mailadressen van gebruikers zijn buitgemaakt die daarna door spammers gebruikt zijn. De clouddienst werkt nu aan two-factor-authentication om inloggen veiliger te maken.

Dropbox logo (60 pix)Halverwege juli kwam naar buiten dat verschillende Dropbox-gebruikers spam ontvingen op een e-mail-adres dat alleen voor de clouddienst in gebruik was. Kort daarna maakte het bedrijf bekend dat het geen bewijs van een hack had kunnen vinden, maar dat er nog verder onderzoek naar de kwestie gedaan zou worden. Naar aanleiding van dat onderzoek blijkt nu dat de dienst niet gehackt is, maar er wel een lijst met e-mailadressen is buitgemaakt dat op het account van een Dropbox-medewerker stond.

In een blogpost erkent het bedrijf dat er recentelijk op verschillende Dropbox-accounts is ingelogd met inlognamen en wachtwoorden die bij andere websites gestolen waren. Eén van die accounts behoorde toe aan een Dropbox-medewerker die in zijn Dropbox een bestand had staan met daarin e-mailadressen van een onbekend aantal gebruikers. Het bedrijf denkt dat deze lijst gebruikt is om de spammails te versturen. Dropbox biedt op het blog zijn excuses aan en zegt dat er maatregelen zijn genomen die dergelijke situaties in de toekomst moeten voorkomen.

Daarnaast gaat de dienst de komende periode zijn beveiliging aanscherpen en inloggen moet veiliger worden door de implementatie van two-factor-authentication. Hierbij moet een gebruiker niet enkel een password invoeren, maar ook een andere code, die bijvoorbeeld via sms verzonden kan worden. Deze mogelijkheid zal als optie aangeboden worden. Daarnaast wordt gebruikers geadviseerd om per website een uniek wachtwoord te gebruiken, zodat situaties als deze voorkomen kunnen worden.

Ook komt er een nieuwe pagina waar gebruikers de actieve login-sessies van hun account kunnen zien, waardoor eventuele logins met gestolen wachtwoorden sneller opgemerkt worden. Dropbox bouwt in aanvulling hierop ook nieuwe systemen die verdachte activiteit moeten herkennen.

Update, 09:38: In het oorspronkelijke bericht stond dat Dropbox gehackt zou zijn, dit klopt niet. De gegevens waarmee hackers op accounts van Dropbox-gebruikers konden inloggen waren bij andere websites gestolen.

Door Wout Funnekotter

Hoofdredacteur

01-08-2012 • 09:08

115 Linkedin Google+

Reacties (115)

Wijzig sortering
Sorry hoor, ik ben dagelijks met enorm gevoelige gegevens bezig en geen haar op mijn hoofd denkt er aan om privacy-gevoelige gegevens uit de databanken te kopiëren en op mijn werkstation te zetten.
Goed zo, uitstekend. Maar bedenk goed dat tegenover 1 van jou, makkelijk 1000 developers staan die er domweg niet bij stil staan, of niet bij stil mogen staan omdat dat allemaal maar tijd kost.
Tja daarom zei ik ook "quarantaine" maar als je het nieuws van enorme datalekken een beetje hebt gevolgd, dan weet je ook dat het lang niet altijd hacks zijn maar veel vaker een of andere onbenul die met een complete kopie van zo'n database aan de wandel gaat. Dat jij je daar -gelukkig!- van bewust bent geeft natuurlijk geen enkele garantie voor je collega's (en dat kan ook -en vaak juist- je manager zijn bijvoorbeeld 8)7 )

Dus een betere waarborg is het identificeren van alle apparaten waar dergelijke informatie op kán staan, en voorkomen dat die het pand verlaten (of aan het internet komen te hangen). Overigens is dat natuurlijk nog steeds geen garante, want als iemand kwaad wil is dergelijk data zo op je smartphone gezet...

[Reactie gewijzigd door ronaldvr op 1 augustus 2012 12:12]

Wie zegt dat het 'zomaar' is gebeurt? Dropbox heeft ook Dropbox for Business (Teams), zou me niets verbazen als ze dat zelf ook gebruiken. We hebben het hier over simpele e-mail adressen en niet over wachtwoorden en/of CC gegevens, dat is imho niet super gevoelige informatie. Een system admin heeft vaak ook remote toegang tot de meeste ifnot alle systemen, als iets dergelijks wordt gehacked (daar noem ik ook social engineering onder), ben je veel verder van huis.

Is het slordig dat dezelfde ww worden gebruikt voor een andere gehackde dienst? Ja, maar soms zit je in de IT en word je werkelijk overspoelt met userids en ww, het is niet houdbaar als 50+ logins moet onthouden die elke paar weken moeten worden reset. Opschrijven is helemaal een big no-no. Wat ik wel doe is een andere set ww gebruiken voor werk dan voor privé. Two factor autentication is leuk, maar je mag dan in principe weer niet op de token zetten waarvoor het is, daar wordt je niet vrolijk van als je met een keyring vol rond loopt met die dingen.
Huh? Als er iemand van een vreemde locatie jouw account gebruikt, dan zie je dat toch?
Ik en waarschijnlijk velen met mij?
Waar baseer je dat op? Kun je dat onderbouwen? Ik zou die optie zeker aanzetten overigens. Maar het blijft een keuze natuurlijk.
De aanname was in dit geval dat het geen kwaad kon om deze gegevens daar op te slaan, en om die gegevens met een generiek wachtwoord te beveiligen. Zoveel is wel duidelijk, laten we de zaken niet omdraaien.
Ja, en dat lijkt me PRIMA voor een klein lijstje met emailadressen.
Jij draait de boel om.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Games

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True