Êtes-vous l'un des 69 millions d'utilisateurs de Dropbox piratés?
A présent, vous avez probablement entendu la phrase “un autre jour, un autre hack” plus de fois que vous voudriez dans une vie, mais il est temps d'ajouter un autre à la liste car il est apparu qu'un nombre incroyable de 68 millions de comptes Dropbox ont potentiellement été compromis.
Vous vous souviendrez peut-être qu'en 2012, Dropbox avait été piraté. À l'époque, Dropbox a nié que rien d'autre qu'un “document de projet avec les adresses e-mail de l'utilisateur” avait été pris.
En août 2016, il a été confirmé que plus de 68 millions de comptes utilisateurs sur Dropboxqui avaient été créés avant la mi-2012 ont apparemment été divulgués en ligne avec leurs mots de passe associés.
Au moment de la rédaction du présent article, on ne savait toujours pas comment ni pourquoi les informations divulguées avaient mis quatre ans à apparaître, mais maintenant, Dropbox a pris la mesure de précaution d'envoyer un courrier électronique aux comptes qu'ils pensent être affectés et de les inciter à réinitialiser leur mot de passe..
Ce que nous savons
En 2012, Dropbox a annoncé que certaines données utilisateur avaient été volées à la suite de la réutilisation d'un mot de passe par un employé sur un système interne qu'ils utilisaient auparavant sur LinkedIn. Ce dernier avait lui-même été victime d'une violation de données en 2012. Fuite massive de comptes LinkedIn Ce que vous devez savoir sur la fuite massive de comptes LinkedIn Un pirate informatique a vendu 117 millions de références LinkedIn piratées sur le Web sombre pour environ 2 200 dollars en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. Lire la suite .
À l'époque, Dropbox avait déclaré que le pirate informatique n'avait eu accès qu'à un document de projet contenant des adresses électroniques de clients. Cela a conduit à un volume important de spam dirigé vers les utilisateurs de Dropbox, ce qui a conduit Dropbox à enquêter et à ajouter des fonctionnalités de sécurité supplémentaires..
Certainement * pas * une notification de violation de Dropbox. Juste… . Euh… bonne hygiène de mot de passe… pic.twitter.com/IxoFpdCKIC
- Marc Rogers (@marcwrogers) 27 août 2016
Tous se sont tus autour de la fuite de Dropbox jusqu'à la mi-août 2016, date à laquelle Dropbox a commencé à envoyer des courriels indiquant que les clients qui n'avaient pas modifié leurs mots de passe depuis la mi-2012 seraient invités à les utiliser lors de leur prochaine connexion. Cependant, il n'y avait aucune mention explicite d'un piratage ou d'une fuite et Dropbox n'a pas signalé le nombre d'utilisateurs auxquels il avait envoyé cet email..
Peu de temps après l'envoi de ces courriels, environ 5 Go de données ont été transmises à la carte mère. Ces données semblaient contenir les adresses électroniques et les mots de passe chiffrés de près de 69 millions d'utilisateurs de Dropbox. En 2012, alors que le piratage avait eu lieu, Dropbox venait d'atteindre 100 millions d'utilisateurs. Cette fuite représente donc plus des deux tiers de sa base d'utilisateurs à l'époque..
Troy Hunt, fondateur du site Web Have I Been Been (HIBP), a confirmé la légitimité du piratage informatique en trouvant à la fois les références de son épouse et de celle de sa femme dans les données. Il a ensuite informé les 114 136 abonnés au programme HIBP qui avaient été touchés par la fuite..
Dropbox a publié une déclaration confirmant que les données contenues dans la fuite provenaient de la violation de 2012 et que le mot de passe avait été réinitialisé. “protect [ed] tous les utilisateurs concernés… La réinitialisation ne concerne que les utilisateurs [ed] qui se sont inscrits à Dropbox avant la mi-2012 et qui n'ont pas changé leur mot de passe depuis.” Ils ont également commenté que les actions qu'ils ont entreprises “a protégé tous les comptes concernés et [leurs] renseignements ont montré qu'il s'agissait de plus de 60 millions.”
Après avoir contacté Dropbox pour vérifier l'étendue de la violation, nous avons été informés que “[ils] n'ont aucune preuve d'un accès inapproprié à ces comptes” ce qui rassure les utilisateurs concernés.
The Hack - Comme c'est mauvais?
Toute faille de données est une mauvaise nouvelle et la divulgation potentielle des adresses électroniques et des mots de passe des utilisateurs sur Internet est terrible en soi..
Cependant, une petite lueur d’espoir dans le hack de Dropbox provient de leur cryptage des mots de passe. Malgré la sécurité apparemment laxiste des mots de passe internes au moment du piratage, Dropbox avait en fait commencé à prendre des mesures pour améliorer la sécurité de ces mots de passe en chiffrant toutes les données avec bcrypt, l’un des algorithmes de hachage les plus sécurisés..
Notez cependant que seulement (environ) la moitié des mots de passe ont été déplacés vers bcrypt au moment du piratage, les 34 millions restants étant cryptés à l'aide de SHA-1, une méthode de cryptage moins sécurisée. Tout n'est pas perdu pour ces mots de passe non plus, puisque Dropbox avait salé les mots de passe SHA-1, en ajoutant une chaîne de texte aléatoire pour rendre les mots de passe plus difficiles à déchiffrer..
Cette protection peut empêcher tous les types néfastes de déchiffrer les mots de passe, mais cela ne doit pas être pris avec certitude et vous devez absolument prendre des mesures pour vous protéger du piratage et effectuer un contrôle de votre sécurité. Protégez-vous Avec une vérification annuelle de la sécurité et de la confidentialité Protégez-vous avec une vérification annuelle de la sécurité et de la confidentialité Nous sommes presque deux mois dans le nouvel an, mais il est encore temps de prendre une résolution positive. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lisez plus pour assurer la sécurité de votre auto en ligne à l'avenir.
Changer votre mot de passe Dropbox
Bien que Dropbox ait déjà effectué les réinitialisations du mot de passe pour les comptes concernés, la réinitialisation de votre mot de passe est un exercice utile, surtout si vous n'avez pas modifié les mots de passe depuis un moment..
Sécurité du compte Dropbox
Certains paramètres de sécurité dans Dropbox peuvent vous aider à protéger votre compte. L'authentification à deux facteurs (2FA) peut être activée dans les paramètres de votre compte. Une fois que vous avez entré votre numéro de téléphone, Dropbox vous enverra un code unique, limité dans le temps et par SMS, que vous devrez entrer lorsque vous essayez de vous connecter..
Vous pouvez également voir quels appareils ont été autorisés à accéder à votre compte, via l'application mobile ou de bureau Dropbox. Les sessions afficheront les navigateurs connectés à votre compte Dropbox..
Si vous ne reconnaissez aucune des sessions ou des périphériques, vous pouvez cliquer sur le bouton X sur le côté droit pour les supprimer et supprimer l'accès de votre compte. Si vous souhaitez faire preuve de rigueur, vous pouvez supprimer toutes les sessions et les périphériques, même si vous ne remarquez rien de suspect, et vous connecter simplement aux applications des périphériques que vous utilisez..
Activer 2FA Partout
L’authentification à deux facteurs est prise en charge par la plupart des sites majeurs. C’est l’un des meilleurs moyens de vous protéger. Verrouillez ces services maintenant avec une authentification à deux facteurs Verrouillez ces services maintenant avec une authentification à deux facteurs L’authentification à deux facteurs est le moyen intelligent de protégez vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lire la suite en cas de piratage. Sans accès à vous ou à votre téléphone, le pirate informatique ne pourra pas se connecter à votre compte..
Si vous ne savez pas si un site Web que vous utilisez prend en charge l'authentification à deux facteurs, vous pouvez vérifier à l'aide de l'authentification à deux facteurs, qui conserve une base de données de tous les sites pris en charge..
Changer tous les mots de passe réutilisés
L'une des principales raisons pour lesquelles les fuites de mots de passe sont une si mauvaise nouvelle est que beaucoup de gens recyclent souvent les mots de passe entre les sites..
Dropbox reconnaît même ce problème en indiquant “tandis que les comptes Dropbox sont protégés, les utilisateurs concernés qui ont peut-être réutilisé leur mot de passe sur d'autres sites doivent prendre des mesures pour se protéger eux-mêmes sur ces sites..”
Après avoir activé 2FA, la meilleure action préventive que vous pouvez prendre est de vous assurer que vous utilisez un mot de passe fort et unique sur chaque site. Cela implique de vérifier que vous n'avez pas réutilisé votre mot de passe Dropbox avec d'autres comptes..
Utiliser un gestionnaire de mots de passe
Une des principales raisons pour lesquelles nous réutilisons les mots de passe est qu’il peut souvent être trop pénible de les mémoriser tous. Heureusement, les gestionnaires de mots de passe sont arrivés sur les lieux. Vous devez commencer à utiliser un gestionnaire de mots de passe dès maintenant Vous devez commencer à utiliser un gestionnaire de mots de passe immédiatement Maintenant, tout le monde devrait utiliser un gestionnaire de mots de passe. En fait, le fait de ne pas utiliser de gestionnaire de mot de passe augmente les risques de piratage! Lire la suite pour vous aider à gérer votre longue liste de mots de passe.
Bien que chaque gestionnaire de mots de passe diffère légèrement, il stockera tous vos mots de passe. Certains offrent des fonctionnalités supplémentaires, telles que la génération sécurisée de mots de passe. Créez des mots de passe forts avec ces 4 incroyables applications Android Créez des mots de passe forts avec ces 4 incroyables applications Android. difficile - alors laissez une application le faire pour vous! En savoir plus et la possibilité de modifier automatiquement vos mots de passe Comment modifier automatiquement les mots de passe avec les nouvelles fonctionnalités de LastPass et Dashlane Comment modifier automatiquement les mots de passe avec les nouvelles fonctionnalités de LastPass et Dashlane Tous les quelques mois, nous entendons parler d'une nouvelle faille de sécurité nécessitant le changement de mot de passe. . C'est fastidieux, mais les applications de gestion de mots de passe ajoutent maintenant des outils pour automatiser cette tâche, ce qui vous fait gagner du temps. Lire la suite .
Lastpass Security Challenge
LastPass est l’un des principaux gestionnaires de mots de passe et dispose d’un outil de sécurité. Maîtrisez vos mots de passe définitivement avec Lastpass '. Challenge de sécurité maîtrisez vos mots de passe définitivement avec. Défi de sécurité de Lastpass Nous passons tellement de temps en ligne, avec tant de comptes, qu’il est être vraiment difficile. Préoccupé par les risques? Découvrez comment utiliser le Challenge de sécurité de LastPass pour améliorer votre sécurité. Lire la suite . Si vous importez vos données dans LastPass, il analysera tous vos mots de passe, les évaluera par leur force et vous alertera si le compte a été impliqué dans une fuite ou si vous avez utilisé le même mot de passe sur d'autres sites. Vous pouvez ensuite modifier les mots de passe faibles ou affectés à partir de la page Scorecard..
AvoirBienPwnd
Nous avons mentionné que Troy Hunt, fondateur de Have I Been Pwnd, a été l'un des premiers à confirmer la fuite de Dropbox en vérifiant les détails de celui-ci et de son épouse dans les données. Il a ensuite envoyé des courriels à tous les abonnés concernés du programme HIBP..
L'abonnement ne coûte rien, et tout ce que vous avez à faire est d'entrer votre adresse e-mail. Si Hunt obtient des données indiquant que votre compte a fait l'objet d'une fuite, le service HIBP vous enverra un e-mail vous alertant. Il n'y a aucun inconvénient à ce service et c'est l'un des meilleurs moyens de rester au courant de toute nouvelle fuite..
Dropbox n'est pas la première… et ce ne sera pas la dernière
Les piratages, les violations de données et les fuites de mots de passe font désormais partie intégrante de la vie numérique en 2016. Des sites tels que LinkedIn et le tristement célèbre Ashley Madison Ashley Madison ne vous ont pas laissé échapper? Pensez à nouveau Ashley Madison Leak No Big Deal? Think Again Le site de rencontres en ligne discret Ashley Madison (principalement destiné aux conjoints trompeurs) a été piraté. Cependant, il s'agit d'un problème beaucoup plus grave que celui décrit dans la presse, qui a des conséquences considérables pour la sécurité des utilisateurs. Lisez plus avec d'innombrables autres.
Le meilleur conseil est de prendre des mesures proactives. Protégez-vous avec un bilan de sécurité annuel et de la confidentialité. Protégez-vous avec un contrôle de sécurité annuel et de la confidentialité. Oubliez boire moins de caféine - nous parlons de prendre des mesures pour protéger la sécurité et la confidentialité en ligne. Lisez-en plus pour sécuriser vos comptes et votre identité numérique, afin que, lorsque l'inévitable se produise et qu'un autre site soit piraté et que les mots de passe soient exposés, vous bénéficiez de la meilleure protection disponible..
Crédit d'image: Raxpixel.com via Shutterstock, welcomia via Shutterstock.com
Explorez plus au sujet de: Dropbox, gestionnaire de mots de passe, atteinte à la sécurité, authentification à deux facteurs.