Хакеры обнародовали данные о 400 учетных записях облачного хранилища Dropbox и заявили, что у них есть информация еще о 7 млн аккаунтов, пообещав опубликовать и их в обмен на Bitcoin. В Dropbox отрицают утечку данных, а эксперты по кибербезопасности отмечают: говорить о безопасности информации пользователей пока рано.
На сайте Pastebin был опубликован документ с логинами и паролями 400 аккаунтов облачного хранилища Dropbox. Как утверждает автор поста, эти аккаунты — лишь малая часть имеющихся у него данных о более чем 7 млн учетных записей пользователей сервиса.
Пост на Pastebin был опубликован вечером 13 октября, в нем содержится список из 400 адресов электронной почты, все из которых начинаются на букву B, и соответствующих этим адресам паролей к учетным записям Dropbox. «Первый тизер… просто для начала», — говорится в комментарии к списку.
Автор сообщения потребовал пожертвования в Bitcoin в обмен на большее количество данных: чем больше криптовалюты получит хакер, тем больше данных он пообещал обнародовать. Cудя по всему, вначале он получил достаточно денег: в тот же день он опубликовал еще одну порцию учетных данных.
Dropbox — один из самых популярных в мире облачных сервисов хранения данных. Он интегрируется практически со всеми операционными системами и работает с любыми компьютерами и мобильными устройствами.
Как именно хакер получил доступ к логинам и паролям, остается неизвестным, однако, по словам представителей Dropbox, сам сервис не взламывали. «Эти имена пользователей и пароли были, к сожалению, украдены с других сервисов и использованы в попытках подключиться к аккаунтам Dropbox, — говорится в сообщении компании. — Мы ранее обнаружили все эти атаки, и подавляющее большинство опубликованных паролей уже не актуальны».
По мнению ведущего вирусного аналитика компании ESET Russia Артема Баранова, не доверять словам Dropbox нет повода. «Как правило, если сервис реально скомпрометирован, компании публикуют официальное сообщение и предупреждают пользователей о необходимости смены пароля, чтобы минимизировать потери. В случае с Dropbox мы этого пока не наблюдали», — рассказал он «Газете.Ru».
С другой стороны, сервисы не всегда реагируют на такие события оперативно, признает эксперт: как показал недавний эпизод с компрометацией серверов eBay, подобные уведомления могут быть разосланы только спустя несколько месяцев с момента компрометации.
Несмотря на это, по информации портала The Next Web, Dropbox сбросила пароли учетных записей, упомянутых в посте на Pastebin. Если пользователи сервиса хотят еще надежнее защититься от возможной утечки, они могут не только сменить пароль, но и воспользоваться двухступенчатой аутентификацией, привязав свой аккаунт Dropbox к номеру телефона.
Любопытно, что данные об учетных записях Dropbox были опубликованы на следующий день после того, как экс-сотрудник АНБ Эдвард Сноуден в интервью рассказал о том, что пользоваться этим облачным хранилищем небезопасно.
«Вы должны избавиться от Dropbox, потому что он не поддерживает шифрование. Тем, кто волнуется о своей безопасности, следует рассмотреть альтернативы, например SpiderOak», — заявил Сноуден.
Пользователи зачастую недооценивают интерес хакеров к их личным данным и относятся к задаче выбора пароля с безразличием, отмечает антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин. «Однако использование одного и того же или похожих паролей для доступа к различным онлайн-сервисам означает, что в случае утечки данных одного аккаунта пользователи рискуют потерять доступ и ко всем другим», — констатирует он.
Чтобы защитить себя от утечки, Ложкин рекомендует интернет-пользователям по возможности использовать двухфакторную авторизацию, регулярно менять пароли и следить за тем, чтобы они были уникальными и сложными, а также наблюдать за активностью собственных аккаунтов и при любых подозрениях обращаться в службу поддержки онлайн-сервиса.