Hackere har stjålet innloggingsinformasjon knyttet til 68 millioner passord for skylagringstjenesten Dropbox, melder Motherboard.vice.com.
Selve hacket skal ha skjedd helt tilbake i 2012, men først denne uken sendte Dropbox ut melding om at de tvinger en rekke brukere til å bytte passord. Grunnen var et innbrudd fra 2012, som selskapet meldte om, men der omfanget tydeligvis ikke var kjent. Dropbox oppfordrer nå alle til å bytte passord også på andre kontoer der Dropbox-passordet er benyttet.
Sikkerhetsekspert Per Thorsheim i God Praksis mener hacket er alvorlig både personvernmessig, fordi mange laster private bilder opp automatisk, og for bedrifter.
- Vis meg den beriften i Norge som ikke bruker Dropbox i form av at ansatte bruker en privat konto til jobbformål, sier han.
Tilgang i fire år?
Han mener nedskrevne sikkerhetsregler om at det ikke er lov å lagre selskapsinformasjon i private skytjenester brytes over en lav sko.
- Dette kan ha rammet mange bedrifter. Mest sannsynlig har folk firmadokumenter, regneark og presentasjoner på private Dropbox-kontoer der de deler dokumentene med andre, sier han.
Han reagerer på at det har tatt fire år å avsløre dette.
Noen kan ha hatt tilgang til mange Dropbox-kontoer i flere år. Det er hårreisende at det blir kjent fire år etter at det skjedde, sier han.
Flere store hack?
At det tar tid før hacking blir avslørt er imidlertid ikke helt uvanlig. Det siste året har flere store hack fra 2011 og 2012 blitt kjent, påpeker Thorsheim.
Jeg lurer på om det har vært en enda større bølge i den perioden, man må jo spørre hvilke andre tjenester som kan ha blitt tatt - og hva som vil dukke opp om fire-fem år, sier Thorsheim.
Noen trygge- andre ikke
Thorsheim var i 2012 først ute i verden med å avsløre hackingen av Linkedin. Den gangen var passordene lagret med svak kryptering og uten såkalt «salt», som gjør det vanskeligere å hacke store mengder like passord samtidig. Denne gangen er deler av basen kryptert med aldrende og svak teknololgi, men med «salt», mens resten er kryptert med det som regnes som den beste teknologien blant de mest brukte.
Hvis ditt passord er blant de sterkest krypterte kan du være ganske trygg, men dette vet man ikke, påpeker Thorsheim.
Han anbefaler alle som ikke har skiftet passord siden 2012 å gjøre dette, samt at man nå må sette opp såkalt «tofaktorautentisering». På mange tjenester innebærer dette at man får en sms med en kode første gang man logger på fra en ny maskin. Uten denne koden kommer hackerne ingen vei, selv om de har ditt passord.
- Vi har fått bekreftet at den proaktive passord-endringen vi fullførte forrige uke dekker alle potensielt rammede brukere, sier Patrick Heim, sikkerhetssjef i Dropbox til Moterhboard.vice.com.
- Vi gjennomførte denne passordendringen for å sikre at ikke gamle passord fra før 2012 kan bli brukt til uautorisert tilgang til Dropbox-kontoer.
Oppdatering:
Advarer mot phishing
Dropbox har etter publiseringen av denne artikkelen sendt DN en uttalelse der de understreker at kun kontoer registrert før midten av 2012 er rammet, og at alle kontoer med uendret passord fra den tiden nå har fått nullstilt passordet og må velge et nytt. Hackere skal dermed ikke lenger ha tilgang og Dropbox sier de ikke har noen indikasjoner på at kontoer er blitt misbrukt.
Dropbox advarer imidlertid om at andre tjenester der samme passord er brukt kan være sårbare, og oppfordrer alle til å skru på tofaktorautentisering for å øke sikkerheten. De advarer også om at advarsler som ser ut til å komme fra Dropbox kan være phishing-angrep, altså forsøk på å sende mottakeren skadelig programvare.
Les også: NHH-professor: Tre argumenter for at delingsøkonomien er et gode
Apple får straffeskatt på 120 milliarder (Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.