Se você recebeu um email com instruções para trocar a senha do Dropbox, é recomendável fazer isso o quanto antes. Se não recebeu, também: o serviço sofreu uma invasão em 2012 que pode ter comprometido a segurança de mais de 68 milhões de contas.
O assunto ganhou força nos últimos dias, quando o Dropbox começou a notificar usuários que criaram contas no serviço antes de 2012 sobre a necessidade de troca urgente de senha. Um alerta também foi publicado no blog da empresa. A nota afirma que equipes de segurança detectaram a captura indevida de credenciais de usuários em uma invasão ocorrida no referido ano.
É um procedimento normal. Todo serviço online que se preze deve seguir um protocolo de troca de troca de senhas quando atividades suspeitas são detectadas. O que surpreende é a quantidade de contas possivelmente afetadas: o Dropbox só foi reconhecer na noite de terça-feira (30) que 68 milhões de contas estão sob risco — 68.680.741, para ser exato. Um especialista em segurança teve acesso à base de dados e descobriu esse total.
Quando o ataque foi detectado, em 2012, a empresa explicou que apenas informações como email e nome de usuário haviam sido capturadas. Mas, agora, ficou claro que dados referentes a senhas também. Apesar disso, o Dropbox afirma em seu blog que a troca de senha é uma medida preventiva e que não acredita que todas as contas afetadas tenham sido acessadas indevidamente.
Muito provavelmente, é verdade. Das contas envolvidas, pouco mais de 32 milhões têm criptografia de hashing bcrypt. O restante é baseado no método de hash SHA-1, que é mais fraco. Assim, é bom não dar bobeira. Há indícios de que o ataque foi realizado a partir da exploração da conta de um funcionário do serviço, logo, dependendo do que foi acessado, o problema pode ser mais extenso do que se pensa.
Fica a dica: troque de senha mesmo que a sua conta tenha sido criada depois de 2012. Não é a primeira vez que o Dropbox sofre um problema desse tipo. Tomar medidas preventivas não será exagero, portanto. E se você ainda não o fez, esse também é um bom momento para ativar a verificação em dois passos.
Comentários
Envie uma perguntaOs mais notáveis
Mesmo que tem a verificação em dois passos, deve trocar a senha do Dropbox?
Po, todos os serviços que tem segunda etapa eu habilito, tenho habilitado no Dropbox e além de gerar as senhas no LastPass, também tenho habilitado nele a segunda etapa, então acho que to tranquilo. O chato disso tudo é na hora de resetar o telefone e sair recuperando os codigos e ir colocando um a um no autenticator (se alguém souber de uma maneira mais fácil me avise.)
Esse LastPass teve vazamento em Junho!
Agora resta saber se vale confiar nesses app de senhas.
Só achei estranho pedirem para trocar por email, mas quando entra no site, nenhum aviso é mostrado.
Sim. É impossível pra eles calcular o hash das senhas que foram criadas com o algoritmo antigo, pois pra isso seria preciso saber a senha original, que eles não tem (por questões de segurança, essa é a ideia). Se você trocar a senha, um novo hash vai ser calculado usando o bcrypt.
Você.
Melhor é trocar de serviço.
Uso o KeePass no PC e celular sem nenhum problema. Pode parecer um trabalho a mais, mas só gravo as senhas do serviços mais importantes, com as outras sendo acessadas com um atalho ou poucos toques, não é tão quão complicado quanto parece. O tecnoblog tem uma maéria sobre gerenciadores de senha, mas recomendo-o para quem quer algo simples e gratuito.
Se alguém se interessar, esse é um guia simples, mas facilmente se acha mais sobre.: https://www.youtube.com/wat...
Desculpa então fodão.
Mas só se tu só usar PC.
Como assim parte da base de usuários é criptografada de um jeito e parte de outro? Se é devido a uma migração, alterando minha senha ela será criptografada usando o novo padrão?
1Password, LastPass e afins acabam com esses problemas.
Também aconselho comprar esse sticker e colar na sua máquina como lembrete antes de enviar algo sensível para a nuvem https://www.stickermule.com...
Poxa troquei minha senha essa semana! Está acabando o padrão de senhas! :\
Certo, possivelmente.
Ou seja, toda vez que se formata o computador e não tem a menor idéia de qual era a senha antiga. kkkk
Exclui a minha então.
Uso desde 2011, nunca troquei a senha e tô bem de boa aqui...
Então, quem tem a verificação de dois passos ativada está seguro, certo?
Troquei de senha umas 5 vezes desde 2012.
Recebi esse email. Mas aqui tenho verificação em duas etapas desde q foi implementada. E se me lembro bem, devo ter trocado de senha bem depois de 2012.