Hack Dropbox, il servizio di cloud storage è stato Hackerato
Drew Houston, sin da piccolo, aveva come sogno quello di creare una sua azienda informatica. Un obiettivo che gli è riuscito nel 2008, all’età di 25 anni, quando ha fondato Dropbox, un servizio di cloud storage che permette agli utenti di salvare e condividere foto, video, documenti ed ogni sorta di contenuto digitale. Per “cloud storage” si intende un servizio che consente di archiviare file su datacenter remoti, potendovi quindi accedere in caso di bisogno: è un sistema che consente maggior sicurezza e affidabilità del tradizionale archivio locale, ed il cui costo è un abbonamento legato a tempo e quantità di materiale archiviato.
La scelta del simbolo, una “scatola aperta” non è stata casuale perché rappresenta un contenitore in cui gli utenti possono collocare tutto ciò che desiderano, raggiungibile da ogni luogo e da ogni sorta di piattaforma. Dropbox, infatti, può essere utilizzato da ogni tipo di computer non solo attraverso un’interfaccia Web, ma anche scaricando ed installando un client software dedicato. Ma Dropbox è anche mobile in quanto è disponibile un’app (per iOS, Android ed in futuro anche per Windows Phone) che permette agli iscritti di avere sempre a portata di mano tutti i propri file, a cui accedere da ogni luogo ed in ogni momento della giornata. Senza limiti. E spesso senza costo alcuno.
Dropbox have been i Pwned
Le credenziali di accesso ad oltre 68 milioni di account di Dropbox, il che include indirizzi e-mail e password, sono state rubate al celebre servizio di cloud storage. L’aspetto più singolare della vicenda è che questa enorme perdita di dati si è in effetti verificata nel 2012, ma a quel tempo il problema era stato segnalato unicamente in relazione agli indirizzi e-mail: come comunicato a Motherboard dal servizio di notifiche di sicurezza Leakbase, il database emerso in rete contiene anche le password.
“Non c’è assolutamente alcun dubbio che la perdita di dati contenga reali password Dropbox: questo tipo di cose, semplicemente, non possono essere fabbricate”, ha spiegato Troy Hunt, ricercatore degli specialisti nelle fuoriuscite di dati sensibili Have I Been Pwned?, che ha verificato i dati trovando in mezzo alle password rubate anche la sua e quella di sua moglie.
Al momento della violazione Dropbox aveva all’incirca 100 milioni di utenti, il che significa che la perdita di dati ha riguardato circa 2/3 di tutti gli account. L’azienda nei giorni scorsi ha inviato un messaggio a tutti i suoi utenti iscritti da prima di metà 2012 e che da allora non hanno mai cambiato la password, richiedendogli di modificare quanto prima le proprie credenziali d’accesso.
Per quanto questo risulti essere un validissimo consiglio, le scelte di Dropbox in termini di crittografia dovrebbero comunque aver protetto molti utenti: nei database emersi in questi giorni, gli indirizzi e-mail sono visibili ma le password risultano invece essere criptate. Il servizio di cloud storage al tempo della perdita di dati era nel mezzo di un cambiamento dello standard di crittazione, da SHA1 a bcrypt.
L’algoritmo bcrypt
“L’algoritmo bcrypt che protegge le password è molto resiliente al cracking e francamente tutte le password, tranne quelle peggio scelte, resteranno sicure anche con questa perdita di dati”, spiega Hunt. “Cambiate decisamente la password se avete un qualsiasi dubbio e, già che ci siete, assicuratevi di attivare la verifica in due step di Dropbox”.
Paradossalmente, la perdita di dati che ha generato questo problema è stata innescata da un dipendente di Dropbox che aveva riutilizzato una password su LinkedIn. L’attacco subito nel 2012 dal social network ha fornito agli hacker le credenziali necessarie ad accedere anche al database di Dropbox.
Un’ennesima dimostrazione, nel caso ce ne fosse ancora bisogno, di come utilizzare la stessa password per tutti i servizi internet dei quali si usufruisce sia una mossa assai poco saggia. Se non ci credete, provate a chiedere a Mark Zuckerberg: il fondatore di Facebook ha visto i suoi social network violati in serie nei mesi scorsi, dal momento che per accedervi era sufficiente scrivere “dadada” come parola d’accesso. Non proprio un grande sfoggio di fantasia.
Ovviamente, utilizzare la stessa password ovunque facilita di molto le cose: non c’è bisogno di ricordarne una diversa per qualsiasi servizio si utilizzi. Ma questa semplicità va di pari passo con l’esposizione a qualsiasi furto di dati che uno di questi servizi dovesse subire. E come le cronache tech più recenti ci insegnano, cose di questo tipo accadono piuttosto spesso: Spotify, Twitter, Ebay sono soltanto alcuni nomi di un lungo elenco di “vittime”.
troyhunt@hotmail.com:$2a$08$W4rolc3DILtqUP4E7d8k/eNIjyZqm0RlhhiWOuWs/sB/gVASl46M2
I head off to my 1Password and check my Dropbox entry only to find that I last changed the password in 2014, so well after the breach took place.
My wife, however, was a different story. Well it was partly the same, she too had an entry in the breach: [redacted]@[redacted]$2a$08$CqSazJgRD/KQEyRMvgZCcegQjIZd2EjteByJgX4KwE3hV2LZj1ls2
But here’s where things differed:
Dropbox: le alternative
Il mercato dello soluzioni di cloud storage è in forte crescita. Sicuramente tra i maggiori rivali si segnalano iCloud, Google Drive e OneDrive.
Apple iCloud, il servizio cloud di Cupertino, è sicuramente indicato esplicitamente agli utilizzatori degli ecosistemi della mela morsicata; l’account base offre 5 GB di spazio online ed i piani di upgrade partono da 0.99 euro al mese per 20 GB extra sino ai 19,99 euro al mese per 1 TB extra.
Google Drive, il servizio cloud di Big G, offre invece 15 GB (spazio condiviso tra Drive, Gmail e Google+ Foto) con piani upgrade a partire da 1,99 dollari al mese per 100 GB extra. Infine, OneDrive, il servizio cloud di Microsoft, offre gratuitamente 15 GB che possono essere subito raddoppiati attivando l’upload automatico delle foto dall’app mobile. Piani upgrade a partire da 1,99 euro al mese per 100 GB extra.
