Dropbox forza a restablecer contraseña a usuarios más antiguos

El servicio de almacenamiento en la nube, Dropbox empezó a notificar a los usuarios desde el fin de semana que si no han actualizado su contraseña desde el 2012, se les solicitará que la actualicen la próxima vez que inicien sesión en su cuenta.

La compañía afirma que la medida es “puramente preventiva” y subrayó que no hay pruebas de que se haya tenido acceso a cuentas de manera incorrecta.

Patrick Heim, el director de Seguridad y Confianza de la empresa, informó a los usuarios el jueves pasado que la acción fue resultado de descubrir un caché de credenciales de usuario de Dropbox que se remonta a 2012. La base de datos contiene direcciones de correo electrónico, además de las contraseñas hash con salt, de acuerdo con Heim.

“En bae a nuestra vigilancia de amenazas y la forma en que aseguramos nuestras contraseñas, no creemos que las cuentas han sido accedidas incorrectamente,” Heim escribió: “Sin embargo, como una de las muchas precauciones, es necesario que quien no ha cambiado su contraseña desde mediados de 2012 la actualice la próxima vez que inicie sesión”.

La compañía no cree que las cuentas han sido comprometidas, pero aun está cubriendo sus bases al forzar un cambio de contraseña para las cuentas de usuarios antiguos. Hash y Salt de contraseñas no es una garantía, pero sí hace más difícil de descifrar las contraseñas.

La compañía está animando a los usuarios a actualizar a una contraseña más robusta y si no ha activado la verificación en dos pasos, hacerlo con el fin de añadir una capa adicional de seguridad a su cuenta. La compañía también está animando a los usuarios que han utilizado la misma contraseña para otro servicio a cambiarla también.

Dropbox cree que el conjunto de credenciales de usuario filtrados se deriva de un incidente que enfrentaron el verano de 2012, cuando un atacante utilizó nombres de usuario y contraseñas obtenidas ilícitamente para entrar en cuentas de Dropbox, incluyendo uno perteneciente a un empleado de Dropbox.

Los usuarios se vieron afectados con publicidad de mensajes de spam de casinos y otros servicios de juego. A pesar de las quejas de los usuarios de Dropbox durante unas dos semanas comentaron que no se había visto ninguna actividad no autorizada en los servicios. Eventualmente, reconoció el incidente unas semanas más tarde en agosto.

Dropbox reforzado su seguridad a raíz del incidente; que fue uno de los primeros servicios en implementar la autenticación de dos factores tras el incidente. También puso en marcha un mecanismo automatizado que se utiliza para detectar actividades sospechosas. La primavera pasada, con la ayuda de HackerOne, la compañía puso en marcha un programa de recompensas de errores para pagar los investigadores de seguridad que descubren vulnerabilidades en el servicio.

Leave a Reply