Vídeo: Действия с файлами и папками в Dropbox (Setembre 2024)
Si feu servir Dropbox per emmagatzemar els vostres fitxers, considereu aquesta publicació un recordatori que haureu d’utilitzar l’autenticació de dos factors per al servei al núvol.
Una persona desconeguda va publicar dilluns centenars de noms d’usuari i contrasenyes que presumptament pertanyien a comptes de Dropbox al lloc d’intercanvi de text Pastebin. L'usuari de Pastebin va dir que la mostra era una petita part d'una llista que consta de fins a 7 milions de comptes Dropbox compromesos.
"Continuarem llançant publicacions més a mesura que arribin les donacions, mostrem el vostre suport", va dir l'anunci de Pastebin que acompanyava la sol·licitud de contrasenya.
Dropbox no piratejat
En cas que us preocupeu que se us hagin robat arxius i imatges, Dropbox va dir que no hi ha res de què preocupar.
"Les seves coses són segures", va escriure Anton Mityagin, membre de l'equip de seguretat de Dropbox, en una publicació al bloc afirmant que Dropbox no havia estat piratejat. "Els noms d'usuari i contrasenyes als quals es fa referència en aquests articles van ser robats a serveis no relacionats, no a Dropbox."
El servei al núvol afirma que els atacants van treure combinacions de nom d’usuari i contrasenya d’altres serveis incomplits i després van intentar iniciar la sessió en diversos llocs d’internet, inclòs Dropbox. Atès que la reutilització de contrasenyes és molt intensa malgrat que no hi hagi repetides advertències, els atacants van poder recopilar una llista de credencials del compte.
Tot i que la Dropbox en si no s’ha incomplert, els meus fitxers no estan en risc des que s’han exposat les credencials del meu compte? Dropbox va afirmar que no va ser així, ja que controla regularment tots els comptes per fer el seguiment d’aquest tipus d’activitat d’inici de sessió sospitosa. Dropbox també va afirmar que ha verificat les llistes publicades a Pastebin i va confirmar que no estan associades als comptes d'usuari.
"Tenim mesures per detectar l'activitat d'inici de sessió sospitosa i restablim automàticament les contrasenyes quan això passi", va escriure Mityagin.
La reutilització de la contrasenya és incorrecta
Si el vostre compte és un dels que han identificat els atacants, probablement Dropbox hagi canviat les vostres contrasenyes. Per tant, abans de res, deixeu de reutilitzar les vostres contrasenyes entre serveis. No utilitzeu la mateixa contrasenya, fins i tot si considereu que els comptes no contenen informació confidencial i no són importants.
Malauradament, malgrat les violacions recents que exposen les contrasenyes dels usuaris, sembla que la gent no hi hagi problemes. Troy Hunt, investigador de seguretat de HaveIBeenPwned.com, va dir a SecurityWatch el mes passat que esperava que es produïssin coincidències entre llistes de contrasenyes de diferents incompliments de dades. La base de dades de HaveIBeenPwned conté llistes de contrasenyes de més de 30 llocs i permet als usuaris comprovar si els seus comptes es troben entre els exposats.
"No hem canviat prou els hàbits de contrasenya" perquè no es produiran coincidències entre incompliments de dades, va dir Hunt.
Ara de dos factors
Tot i que no heu reutilitzat les contrasenyes, el vostre compte segueix sent vulnerable a atacs de força bruta, especialment si la contrasenya és feble. També convé remarcar que fins i tot contrasenyes fortes i complexes poden ser forçades amb força, sobretot si l’atacant té recursos informàtics suficients, temps i motivació. Per això, heu d’activar la verificació en dos passos a qualsevol servei que l’ofereixi. Per sort, Dropbox és un d'aquests serveis i és bastant fàcil configurar-lo.
"Els atacs com aquest són un dels motius pels quals recomanem fermament als usuaris que no reutilitzin les contrasenyes entre els serveis. Per a una capa addicional de seguretat, sempre recomanem habilitar la verificació en dos passos al vostre compte", va escriure Mityagin.
La verificació en dos passos combina contrasenyes o "alguna cosa que coneguis" amb un dispositiu mòbil o "alguna cosa que tinguis" per evitar intents de sessió fraudulenta. Si heu activat dos factors al vostre compte Dropbox, rebrà un codi de seguretat de sis dígits al telèfon mòbil o un codi generat des de l'aplicació Google Authenticator. "Tenir dos passos més que un només crea una barrera més forta contra els atacants", va dir Dropbox.
Us recomanem que utilitzeu un gestor de contrasenyes com LastPass per facilitar la generació de contrasenyes úniques que també siguin complexes. Però, tot i que poden frenar els atacants, no són infidel. L’autenticació de dos factors pot ser menys convenient i lenta, però val la pena fer un esforç addicional si impedeix que els atacants entren fàcilment al vostre compte.
