Dropbox требует сброса старых паролей
Многие пользователи Dropbox, возможно, были удивлены, получив подсказку, когда они вошли в свою учетную запись службы облачного хранения: «Выберите новый и надежный пароль».
В сообщении блога для пользователей из Dropbox рассказал о принудительном сбросе пароля компании. Сброс особенно касается лиц, которые присоединились к Dropbox «до середины 2012 года и с тех пор не меняли свой пароль». Хайм заявил, что это была мера предосторожности в свете предыдущего инцидента, в ходе которого были украдены пароли от 68 миллионов учетных записей. Это текущее изменение пароля связано с тем, что Dropbox «узнал о старом наборе учетных данных пользователя Dropbox (адреса электронной почты плюс хешированные и соленые пароли)», которые были получены в результате взлома в 2012 году.
Что касается реальных пользователей, которым грозит потенциальная опасность взлома, Хайм порекомендовал перейти на надежные пароли. Компания предоставила «измеритель надежности пароля», чтобы помочь пользователям в процессе сброса. Кроме того, сообщение в блоге призывало пользователей Dropbox включить двухфакторную аутентификацию, которую Dropbox определяет как использование текстовых сообщений (я лично не рекомендую это), мобильных приложений (опять же, я думаю, что это плохая идея) или ключа безопасности ( это абсолютно то, что вы должны сделать).
Этот инцидент потенциально может поставить Dropbox в неловкое положение, поскольку компания считала, что со взломом 2012 года уже покончено. С этим возрождением внимания к старым данным учетной записи возникает вопрос, соответствует ли действительности утверждение «мы делаем это исключительно в качестве превентивной меры, и нет никаких признаков того, что к вашей учетной записи был получен неправомерный доступ». Как Dropbox может не знать о незаконном доступе к учетным записям пользователей из-за старого взлома? Кто-то из службы безопасности действительно ошибся, так как только небрежное расследование нарушения могло привести к этому.
Однако, к чести компании, она использует более дальновидную практику безопасности. В конце сообщения в блоге Хейм заявляет, что Dropbox использует «широкий набор средств контроля, включая независимые аудиты безопасности и сертификации, анализ угроз и вознаграждение за обнаружение ошибок для этичных хакеров». Лучший способ обеспечить, по крайней мере, на мой взгляд, действительно надежную систему сетевой безопасности — получить помощь от сторонних источников. Внутренние ИТ-подразделения могут быть слепы к собственным ошибкам кодирования (или любым другим уязвимостям), как, вероятно, скажет вам любой пентестер. Используя независимо нанятых хакеров и специалистов по информационной безопасности, не будет такой большой проблемы, как эго, препятствующее безопасности.