Il fatto risale al 2012 ma soltanto in questi giorni se ne è avuta la certezza. Non è un caso che Dropbox, uno dei più noti servizi di cloud storage, abbia chiesto nei giorni scorsi agli utenti iscritti prima della metà del 2012 di cambiare la propria password di accesso.
Ai tempi Dropbox contava circa 100 milioni di utenti – oggi ha superato la soglia del mezzo miliardo – due terzi dei quali (più di 68 milioni), fa sapere il sito Web Motherboard, sono stati vittime della violazione. Che in un primo momento sembrava interessare soltanto gli indirizzi e-mail ma che a un’analisi più attenta pare riguardare anche le password.
«I nostri team di sicurezza sono sempre allerta per individuare nuove minacce per i nostri utenti. Proprio grazie a questo lavoro costante, siamo venuti a conoscenza di un vecchio set di credenziali di utenti Dropbox (indirizzi email e password hashed and salted) che crediamo siano state ottenute nel 2012. La nostra analisi suggerisce che le credenziali facciano riferimento a un incidente che avevamo reso pubblico in quel periodo», fanno sapere da Dropbox.
«Confermato che il password reset proattivo che abbiamo completato la scorsa settimana ha toccato tutti gli utenti potenziali colpiti da questa breccia» commenta Patrick Heim, Head of Trust and Security at Dropbox. «Abbiamo avviato questo reset come misura precauzionale, così che le vecchie password risalenti a metà 2012 non potessero essere usate per accedere indebitamente agli account Dropbox. Incoraggiamo gli utenti a cambiare la password sugli altri servizi su cui credono di aver utilizzato la stessa». Stando alle parole della società americana, le credenziali rubate non sarebbero quindi state utilizzate per accedere ai profili dei rispettivi intestatari.
Un colpo ben assestato, in ogni caso, da parte di chi traffica illegalmente in database piazzando a migliaia di dollari pacchetti contenenti le credenziali di accesso di milioni di utenti. Sembra tuttavia che la violazione subita da Dropbox nel 2012 non abbia generato ancora vendite sul mercato del Web sommerso (il cosiddetto “dark web”) mentre, nei primi giorni di agosto, risultava in vendita a circa 1.800 dollari un pacchetto contenente 200 milioni di indirizzi e-mail, con relative password, di altrettanti utenti iscritti ai servizi di Yahoo!. A dirigere le illecite transazioni lo stesso hacker che fra il 2012 e il 2013 ha ottenuto informazioni su milioni di credenziali LinkedIn e MySpace.
Dropbox: rubati più di 68 milioni di indirizzi e-mail e password
il