Se você recebeu um email com instruções para trocar a senha do Dropbox, é recomendável fazer isso o quanto antes. Se não recebeu, também: o serviço sofreu uma invasão em 2012 que pode ter comprometido a segurança de mais de 68 milhões de contas.

O assunto ganhou força nos últimos dias, quando o Dropbox começou a notificar usuários que criaram contas no serviço antes de 2012 sobre a necessidade de troca urgente de senha. Um alerta também foi publicado no blog da empresa. A nota afirma que equipes de segurança detectaram a captura indevida de credenciais de usuários em uma invasão ocorrida no referido ano.

É um procedimento normal. Todo serviço online que se preze deve seguir um protocolo de troca de troca de senhas quando atividades suspeitas são detectadas. O que surpreende é a quantidade de contas possivelmente afetadas: o Dropbox só foi reconhecer na noite de terça-feira (30) que 68 milhões de contas estão sob risco — 68.680.741, para ser exato. Um especialista em segurança teve acesso à base de dados e descobriu esse total.

Quando o ataque foi detectado, em 2012, a empresa explicou que apenas informações como email e nome de usuário haviam sido capturadas. Mas, agora, ficou claro que dados referentes a senhas também. Apesar disso, o Dropbox afirma em seu blog que a troca de senha é uma medida preventiva e que não acredita que todas as contas afetadas tenham sido acessadas indevidamente.

Muito provavelmente, é verdade. Das contas envolvidas, pouco mais de 32 milhões têm criptografia de hashing bcrypt. O restante é baseado no método de hash SHA-1, que é mais fraco. Assim, é bom não dar bobeira. Há indícios de que o ataque foi realizado a partir da exploração da conta de um funcionário do serviço, logo, dependendo do que foi acessado, o problema pode ser mais extenso do que se pensa.

Fica a dica: troque de senha mesmo que a sua conta tenha sido criada depois de 2012. Não é a primeira vez que o Dropbox sofre um problema desse tipo. Tomar medidas preventivas não será exagero, portanto. E se você ainda não o fez, esse também é um bom momento para ativar a verificação em dois passos.