skip to main | skip to sidebar
20 commenti

Dropbox: 68 milioni di account violati, ma password datate 2012

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/08/31 11:50.

Troy Hunt di HaveIBeenPwned segnala di aver confermato l’autenticità della collezione di circa 68 milioni di indirizzi di mail e corrispondenti hash di password di Dropbox che sta circolando nei bassifondi di Internet, perché vi ha trovato l’hash della password dell’account di sua moglie, che era stato generato da un gestore di password robuste.

Brutta storia: l’attenuante è che non si tratta delle password in chiaro ma della loro versione hash (che richiede un notevole impegno di calcolo per risalire alla password vera e propria) e che le password risalgono (a quanto risulta) al 2012, per cui se avete cambiato la vostra password di Dropbox dopo quella data siete in salvo da questo saccheggio di massa.

Dropbox sta avvisando via mail gli utenti coinvolti e li sta obbligando a un cambio di password quando accedono al servizio. Anche HaveIBeenPwned sta mandando avvisi agli utenti Dropbox che trova nella collezione e che si sono iscritti al suo servizio di notifica (come il sottoscritto).



Attenzione ai falsi messaggi di avviso, che verranno sicuramente disseminati dai truffatori per tentare di rubare gli account.

Se non l’avete già fatto, attivate l’autenticazione a due fattori anche su Dropbox. Non dimenticate che se qualcuno prende il controllo del vostro account Dropbox, non solo può leggere tutti i vostri dati e documenti, ma può anche cancellarli dai vostri computer.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (20)
Ciao Paolo,

Sono d'accordo con te che l'autenticazione a due passaggi ormai dovrebbe essere essenziale.

Personalmente penso che anche una buona dose di "educazione alla sicurezza" sia fondamentale.
Purtroppo il rendere la tecnologia fruibile a tutti, senza educare le persone all'uso della stessa, trasmette agli utenti una falsa sensazione di controllo del mezzo che usano.

Questo episodio, secondo me, dimostra quanto l'utente stesso debba imparare a difendersi dagli stessi servizi che usa e quindi ancora di piu' ha bisogno della summenzionata "educazione alla sicurezza".

Il mio account è fra quelli violati, con password robusta ma non cambiata di recente (non avevo su dropbox dati sensibili ed avevo backup, quindi non sarebbe stato un dramma comunque...). Ho ricevuto prima la notifica email di Dropbox, in cui veniva detto che se al momento del collegamento all'account non avessi ricevuto notifica che mi invitava a cambiare password, avrebbe significato che il mio account non era fra i violati. Ho provato a collegarmi, ma nessuna notifica. Allora ho deciso di attendere un attimo per vedere cosa succedeva, senza cambiare password. Stamani mi è arrivata la notifica di HaveBeenPowned che l'account collegato alla mail che avevo registrato presso di loro era stato violato. Mi sono collegato di nuovo, ma nessuna richiesta di cambio password. L'ho cambiata allora io manualmente e stavolta qualcosa è successo: dropbox non ha accettato l'immediato cambio, ma ha bloccato l'account ed inviato alla mail registrata un link per inserire la nuova password. Cosa che ho fatto.
Quel che più mi lascia perplesso però è che avendo io dropbox installato su PC Windows, con alcune folder sinconizzate, non solo tramite quella installazione non mi è arrivata alcuna notifica, ma non è stato necessario in alcun modo inserire in quella installazione la nuova password. La password sembra legata solo all'accesso via browser. Indem per la App che ho sul cell Android: nonostante il cambio password continuo normalmente ad accedere dalla App senza aver dovuto inserire la nuova password. Sembra quindi che una volta collegato il software per Pc o la App, essi restino connessi a prescindere dal cambio password. Cosa non molto sicura. Quindi in pratica per esser certo che nessuno possa mettere il naso nei miei files devo accedere via browser e verificare le connessioni attive (non ce ne sono di sospette).
Ah, non ho ancora abilitato la verifica in due passaggi, appena ho tempo ci provo e vediamo se con quella gli account collegati vengono riesaminati.
La collezione non è di password, ma di HASH di password, è *ben* diverso.

Dall'articolo originale: "the bcrypt hashing algorithm protecting it is very resilient to cracking and frankly, all but the worst possible password choices are going to remain secure even with the breach now out in the public"

Per favore correggi il tuo articolo.
Aggiornamento al mio commento precedente: anche attivando la verifica in due passaggi, gli account precedentemente collegati (nel mio caso quello del PC con il software installato per sincronizzare le folder dropbox con quella locale, e quello per Android) restano collegati, e non viene chiesto né di reinserire la password, né di autenticarsi col codice di sicurezza dato dalla verifica in due passaggi. Quindi è oltremodo opportuno, dopo il cambio password, verificare dal proprio profilo quali sono i dispositivi collegati all'account. Nel dubbio meglio scollegarli tutti, e ricollegarli in seguito (è però possibile che questo azzeri la sincronizzazione e richieda quindi una connessione internet adeguata a risincronizzare il tutto).
Forse è meglio specificare che sono stati rubati gli hash delle password, e non le password stesse. Troy Hunt non ha trovato la password robusta della moglie nell'elenco, ma ha semplicemente verificato che l'hash fosse corretto partendo dalla password che conosceva a priopri.
2FA già attivata. Password cambiata dopo il 2012. Sono salvo. Ma perchè devono accadere cose del genere? Perchè?
Ma sono disponibili per la verifica?
Manuel, Luke,

grazie della precisazione importante. Ho corretto l'articolo.
Quando ho visto un certo nome nel consiglio di amministrazione di Dropbox:
https://www.dropbox.com/about
Mi si sono rizzati i peli come ad un gatto messo all'angolo: Condoleeza Rice, ex "falco" del governo Bush, una di quelle brave persone che hanno forzato una guerra, mentendo al loro popolo sul coinvolgimento dell'Iraq negli attentati del 2001, e salvando gli "amici" sauditi.
Io dovrei affidare i miei files a personaggi del genere? Sospetto che la signora abbia fatto ricorso all'NSA per scardinare la sicurezza degli utenti, per poi farsi scappare la lista di account e password.
Scusate, in questo caso che dovrei fare?
https://s21.postimg.org/kjvmpfj3b/Cattura.png

Il pastebin non è più disponibile quindi non ho idea a cosa si riferisca.
Io ho ricevuto da dropbox una mail nella quale mi si invitava a cambiare pwd "come misura esclusivamente preventiva".
Ora haveibeenpwned mi dice che si son ciulati la mia mail e l'hash della mia pass. Nel 2012. Ci han messo poco ad accorgersene...

Anche se, la stessa Dropbox nel 2012 informava che combinazioni di user e pass rubati da siti terzi sono stati usati per loggarsi su dropbox, quindi non sarebbe un vero e proprio problema di sicurezza di dropbox.
Peccato che io per i siti "seri" usi una pass univoca, quindi non possono averla rubata da nessun'altra parte (e non uso gestori di pass).
Aggiornamento: ho controllato la cache e sono riuscito a risalire al contenuto della pagina pastebin rimossa, credo che il mio indirizzo sia stato pubblicato all'interno di una lista contenente utenti della piattaforma Steam (lo deduco dalla mia email associata il mio nick name steam). Tuttavia, nel mio caso, sono stati resi pubblici solo:

1) nick name (è solo un nome, non ha vincolo di credenziale)
2) email
3) credo un indirizzo ip dal quale potrei essermi collegato (è possibile perché attualmente lo stesso indirizzo ip appartiene al mio attuale provider, il problema è che vivo all'estero da un po' di tempo)

Non viene riportato alcun hash (in altre emails invece sì).
Sarebbe interessante sapere se erano codifiche hash fatte con MD5, SHA-1 o SHA512.

MD5 di fatto non dovrebbe essere piu' utilizzato, vista la potenza computazionale attualmente a disposizione, il lavoro di fare l'hash MD5 di una password candidata diventa praticamente trascurabile.

Aggiungiamo il fatto che la stragrande maggioranza, l'utente medio, non ha degli standard di password alti e non prende seriamente il fatto di cambiarla, otteniamo un cocktail esplosivo.

Consiglieri non solo di cambiare la password di Dropbox e di attivare l'autenticazione a due passaggi, ma anche di cambiare la password da tutti i servizi altri su cui e' stata usata.
E se possibile abilitare l'autenticazione a due passaggi anche su quei servizi.

Alcune regole per le password formulate in base all'esperienza lavorativa e alle documentazioni reperibili:

1) Password lunga (i.e. piu' di 8 caratteri)
2) Non solo caratteri alfanumerici ma anche caratteri speciali (i.e. !, #, $, & etc.)
3) Evitare parole in uso nel dizionario e nomi propri
4) Evitare di usare numeri al posto di delle lettere tipo il 3 per la e l'1 per la i etc.
5) Evitare combinazioni del tipo nome e numeri (tipo nome + date varie)
Parliamoci chiaro, il SOLO modo per non doversi preoccupare di chi c'è nei CdA delle aziende di cui usiamo i servizi è non usarli. Buttate computer e smartphone.

Sulle password, la buona pratica vorrebbe venissero cambiate spesso, la pigrizia vince sempre. :-(
Leggendo i commenti ho notato che l'algoritmo di hashing e' bcrypt.
Se posso permettermi: cambiate anche l'indirizzo e-mail legato all'account DropBox, e se utilizzato per altri accounts o servizi, fate la stessa operazione. La comodità di utilizzare un indirizzo di posta elettronica come userID è oggi un rischio, piuttosto sarebbe meglio utilizzare un alias di posta, così che in caso di furto, il vero account non venga compromesso.

Quanto al resto, ho traccia di una conversazione tenuta con il supporto DropBox alla fine del 2012 e in cui segnalavo loro che c'erano stati dei tentativi di accesso non autorizzato oltre ad alcuni messaggi di posta elettronica su un mio indirizzo (alias, ndr) mai utilizzato altrove. Dopo una serie di rimpalli mi avevano liquidato chiedendomi di cambiare la password e attivare la 2FA.

E sempre nel 2012 avevo notato che pur cambiando la master password, per qualche giorno riuscivo a loggarmi con la vecchia da altri dispositivi che erano già autenticati, proprio come ha commentato qui un altro utente DropBox. Segnalai anche questo bug, se così possiamo definirlo, ma dal supporto non mi risposero.

Morale della favola, il mio vecchio e-mail alias è oggi compromesso, e non certo per mia incuria.

Ciao Paolo e complimenti sia a te che a tutti i commentatori.
Da una hash NON è possibile risalire alla password vera e propria, è un processo ad una sola via, tu scrivi una password generi l'hash e lo confronti col memorizzato, non devi mai tornare indietro (ed è per quello che gli amministratori possono solo azzerarle).
Ciskje,

Quello che hai scritto non è del tutto corretto: sei hai un'idea della password usata, puoi generare gli hash per le varie ipotesi e ridurre moltissimo l'onere di calcolo. Di solito si fa un attacco a dizionario oppure si usano le 50 password più comuni: se si tratta di una raccolta di massa, non di un bersaglio individuale, è sufficiente ad accumulare un numero di vittime sufficiente.

L'autore dell'articolo che cito, Troy Hunt, ha confermato la validità della raccolta di info rubate a Dropbox facendo un "attacco a dizionario" con un dizionario di una parola sola .-)
io aggiungerei che le password sufficientemente semplici (per esempio: parola di dizionario e pochi caratteri in più) possono essere ricavate, per cui chi ha usato la stessa password per altri account dovrebbe cambiarla pure lì.
@Ciskje

E' vero che gli hash delle password non sono le password stesse ma ci sono tecniche e programmi che permettono di farne innumerevoli tentativi generando password candidate, farne l'hash e vedere se l'hash e' uguale a quello rubato.

Le tecniche piu' famose:

1) Il brute force della password (ormai sta cadendo in disuso)
2) L'applicazione di algoritmi che generano pattern specifici di conformazione della password (esempio password di 6 caratteri alfanumerici e 4 numerici)
3) L'applicazione di schemi di trasformazione (esempio mettere il 3 per la lettera e)
4) Attacco basato su dizionari
5) L'uso di elenchi di password e hash gia' scoperte reperibili nel deep-web
6) L'uso di queste tecniche in combinazione tra di loro

Al momento si utilizzano non solo le CPU per aumentare le possibilita' di calcolo ma anche le GPU (i processori delle schede grafiche) e ci sono programmi che utilizzano interi rack di GPUs per moltiplicare il numero di operazioni da fare al secondo in modo esponenziale e quindi abbattere il tempo di elaborazione.

Password "semplici" possono essere crackate nel giro di frazioni di secondo semplicemente con il brute force, tecnica ormai obsoleta.

Per quelle un po' piu' complesse (lunghe piu' di 8 caratteri alfanumerici) si raggiunge il limite dei secondi usando le tecniche combinate descritte prima.

Per password complesse ad estremamente complesse, a meno di non averle in un elenco, il tempo si alza in base alla complessita' e morfologia della password.

Ma il punto non e' questo, il punto e' che a chi mette le mani su questi hash non interessa crackarle tutte, interessa crackarne abbastanza. Non hanno limiti di tempo.
Scoperte le password queste vanno ad ingrossare gli elenchi di password reperibli in rete e quindi a rendere il lavoro piu' semplice per la prossima volta...
E questo e' lo scenario meno preoccupante.

Scenari veramente preoccupanti...
Una volta trovata una password utilizzabile e una utenza in foramto email, puo' verificare se la stessa password funziona anche per il servizio email.

Se va, ha accesso a tutta la rubrica dei contatti, le ricevute di pagamento inviate via email e quindi anche all'indirizzo di casa/lavoro. Ha accesso a tutte le foto, private e non e altri dati sensibili.
Da qui al furto di identita' il passo e' breve e questa non e' la trama di un film...

Un esempio di cosa si puo' fare con il furto di identita'?

1) Pagina su sito social per adescamenti
2) Blog che trattano materiale illegale (lascio all'immaginazione)
3) Transazioni commerciali sul mercato nero di internet
4) Furto dei numeri di carte di credito
5) Ricatti
6) Uso di falsa identita' per stalking
Rama.

ho respinto il tuo commento perché sospetto che sia spam.

Riformulalo senza linkare nulla (anche perché non c'è bisogno di spiegarci che cos'è una VPN) e verrà pubblicato.