Circa due settimane fa aveva iniziato a diffondersi in rete la voce facente riferimento ad un possibile attacco hacker ai danni di Dropbox.
Sino a questo momento, però, non era stato fornito alcun dettaglio a riguardo: l’azienda, infatti, si era limitata soltanto a spiegare che le attività di analisi e di investigazione erano in corso e che non era stata ancora rilevata alcuna operazione non autorizzata effettuata sull’intera piattaforma.
Da poche ore a questa parte, invece, il team di Dropbox ha confermato, mediante la pubblicazione di un apposito post sul blog ufficiale, quelli che erano i sospetti iniziali: un gruppo di hacker sconosciuti ha rubato nomi utente e password degli utenti di siti web di terze parti e, successivamente, hanno provato ad accedere agli account Dropbox servendosi delle credenziali in questione.
La nostra indagine ha accertato che i nomi utente e password rubate di recente da altri siti Web sono stati utilizzati per accedere a un piccolo numero di account Dropbox. Abbiamo contattato questi utenti e li abbiamo aiutati a progettere i loro account.
Una password rubata è anche stata usata per accedere all’account Dropbox di un nostro dipendente, dove era contenuto un documento progettuale con gli indirizzi email degli utenti. Crediamo che questo accesso sia finalizzato allo spam.
A detta degli esperti di Dropbox l’accaduto è riconducibile al fatto che i cracker hanno voluto ottenere gli indirizzi di posta elettronica degli utenti per poter inviare loro spam a nome del servizio di cloud storage, così come segnalato dagli stessi iscritti giorni fa.
Tenendo conto di quanto accaduto il team di Dropbox ha comunque deciso di adottare nuove e specifiche soluzioni onde evitare il ripetersi, in futuro, di una situazione di questo tipo.
Ben presto, quindi, saranno implementati nuovi meccanismi automatici sul servizio miranti ad identificare le eventuali attività sospette, verrà introdotta una nuova pagina in grado di esaminare tutti gli accessi effettuati ad ogni account, il processo di autenticazione sarà suddiviso in due setp (prima previa immissione della password e poi con la digitazione di un codice inviato su cellulare) e in alcuni casi, inoltre, agli iscritti verrà richiesto di modificare il proprio codice di accesso.
Photo Credits | Flickr
Via | Neowin
#1Giacomo
ahhh… il cloud… 😐
#2Raziel
Mi chiedo se un semplice captcha non fosse sufficiente…