Dropbox gehackt: Dit moet je weten (en doen)
In 2012 vond er een hack plaats bij Dropbox. Nu pas is bekend hoe groot de schade wel niet is: er zijn miljoenen gebruikersnamen en wachtwoorden buitgemaakt. Wat is er inmiddels allemaal bekend over de inbraak, en hoe kun je jezelf beschermen?
Wat is er gebeurd?
Bij een hack bij Dropbox is een groot aantal gegevens buitgemaakt. Techsite Motherboard meldde vorige week al dat er een grote inbraak was gepleegd bij de dienst, maar toen werd aangenomen dat het alleen ging om gebruikersnamen en e-mailadressen.
Inmiddels is echter ook bekend dat er wachtwoorden zijn gestolen. Het gaat in totaal om bijna 69 miljoen wachtwoorden. De hack is bevestigd door Troy Hunt, de man achter HaveIBeenPwnd.com. Die website onderzoekt grote datahacks.
Volgens Hunt kwamen de inbrekers op de servers van Dropbox terecht via het wachtwoord van een medewerker, dat tijdens een andere hack op LinkedIn werd bemachtigd. Die vond ook in 2012 plaats.
Dropbox heeft nu alle slachtoffers gemaild, en de wachtwoorden zijn gereset. Die plotselinge wachtwoordwijziging vond vorige week al plaats. Toen was nog altijd niet duidelijke hoeveel gegevens er daadwerkelijk waren buitgemaakt.
Was de beveiliging niet goed?
De hack vond plaats in 2012, dus zijn de gegevens al ruim 4 jaar oud. Ze werden echter nu pas ontdekt door Dropbox. Na de ontdekking heeft de dienst meteen een waarschuwing gestuurd naar alle slachtoffers. Het gaat in ieder geval om 69 miljoen gegevens. Dat zijn niet alleen gebruikersnamen en e-mailadressen, maar ook wachtwoorden. Daarvan was zeker de helft versleuteld met een verouderd encryptiealgoritme, SHA-1. Hoe de andere wachtwoorden zijn versleuteld, is niet bekend.
Was LinkedIn laatst niet ook zo gehackt?
De hack doet veel denken aan die van LinkedIn, die recent plaatsvond. Daarbij werden ook miljoenen gebruikersnamen en wachtwoorden buitgemaakt, en die hack vond aanvankelijk ook al in 2012 plaats. Critici denken dat er in dat jaar nog vee lmeer diensten zijn gehackt, en dat er de komende weken en maanden nog veel meer bekend worden gemaakt.
Wat kan ik nu het beste doen?
De hack vond in 2012 plaats, dus is het wat mosterd na de maaltijd om nu je wachtwoord nog te veranderen. Toch is dat wel verstandig om te doen, al is het maar voor de zekerheid. Verander daarnaast je wachtwoord voor andere diensten waar je hetzelfde wachtwoord gebruikt.
We raden je ook aan een wachtwoordmanager te gebruiken zoals LastPass of 1Password. Je kunt controleren of je bent gehackt bent op de website HaveIBeenPwnd.com. Hoe die site precies werkt, lees je in deze workshop.
Ook is het slim om je account beter te beveiligen, bijvoorbeeld met tweestapsverificatie. Daarbij heb je naast je wachtwoord ook nog een sms'je of andere extra code nodig om in te loggen. Zo kan iemand die je wachtwoord heeft nog steeds niet inloggen.