Dropbox sotto attacco hacker. Chi dovrebbe vegliare sui nostri dati nel Cloud?

Password rubate e onde di spam, in arrivo nuove misure di sicurezza.

Dopo le prime voci su un possibile attacco hacker ai danni di Dropbox, l’azienda ha confermato il furto di password. Le indagini su delle possibili operazioni non autorizzate all’interno della piattaforma hanno confermato quello che alcuni utenti già sospettavano: Dropbox ha subito un attacco hacker che ha portato ad una diffusione di messaggi spam.

Nello specifico, un gruppo di hacker sconosciuti ha rubato una lista di nomi utenti e password da dei siti Web di terze parti, e ha successivamente provato ad entrare con quelle credenziali su Dropbox. Con questi dati, i malintenzionati sono riusciti ad entrare negli account di un piccolo numero di utenti del servizio di cloud storage e sincronizzazione. Tra le “vittime” di questa violazione c’è, sorprendentemente, anche un dipendente della stessa azienda Dropbox. Sul blog ufficiale di Dropbox che si occupa dei security updates, un post ci informa che:

La nostra indagine ha accertato che i nomi utente e password rubate di recente da altri siti Web sono stati utilizzati per accedere a un piccolo numero di account Dropbox. Abbiamo contattato questi utenti e li abbiamo aiutati a progettere i loro account. Una password rubata è anche stata usata per accedere all’account Dropbox di un nostro dipendente, dove era contenuto un documento progettuale con gli indirizzi email degli utenti. Crediamo che questo accesso sia finalizzato allo spam.

Una volta entrati in possesso degli indirizzi e-mail degli ignari utenti, gli hacker hanno iniziato ad inviare messaggi di spam a nome di Dropbox. Nonostante l’effetto dell’attacco sia stato semplicemente lo spam, Dropbox non vuole che situazioni del genere possano ripetersi, per questo motivo verranno presto adottate nuove misure di sicurezza. Anche in caso di furto di password, il team a messo a punto quattro ulteriori sistemi di sicurezza:

• Autenticazione a due livelli: un sistema opzionali di sicurezza aggiuntiva che prevede, al momento del login, l’inserimento di un codice temporaneo che viene inviato via SMS. (Questa funzione verrà aggiunta nelle prossime settimane).
• Un meccanismo automatico di identificazione degli accessi sospetti. Provvedimenti di questo tipo saranno aggiunti nel tempo
• Una nuova pagina che permette agli utenti di esaminare tutti gli accessi effettuati al proprio account.
• Richiesta di modificare la propria password nel caso non si sia usata da tempo o nel caso in cui sia ritenuta troppo comune e quindi poco sicura.

L’unico problema sembra proprio essere stato quello dello spam per tutti gli account violati. Non si è trattato quindi di una vera e propria breccia nei sistemi di sicurezza di Dropbox, ma di una violazione dovuta al fatto che molti utenti continuano ad usare gli stessi username e le stesse password per diversi siti e servizi. In questo caso puntare il dito contro Dropbox non sembra la soluzione migliore. E’ vero che i servizi cloud non sono sicuri al 100%, ma anche gli utenti devono provvedere a difendere i propri account con delle password sicure.

Per avere un maggiore livello di sicurezza, gli stessi utenti possono usare dei metodi efficaci. Per prima cosa bisogna evitare di usare le stesse credenziali per diversi siti. Per evitare di dover tenere a mente decine di password si può ricorrere a software come KeePass, One Password e LastPass in modo che queste vengano memorizzate e archiviate al sicuro. Purtroppo, non è la prima volta che accade un fatto del genere, e probabilmente non sarà neanche l’ultima. Dropbox avrebbe potuto fare di meglio e garantire una maggiore protezione, in questo caso però, anche gli utenti hanno avuto una buona dose di responsabilità. Come ha sottolineato l’azienda “Though it’s easy to reuse the same password on different websites, this means if any one site is compromised, all your accounts are at risk“.

Facendo una conta dei danni, le persone che hanno fatto una segnalazione di violazione sono state in tutto 295. Gli account violati quasi tutti europei e appartenenti soprattutto a persone di Germania, Olanda e Regno Unito. Una maggiore attenzione da parte di utenti e servizi si rende ancora più necessaria dato il moltiplicarsi di questi eventi, il caso del furto di milioni di password di LinkedIn in giugno ne è solo un esempio. Alcuni sostengono che questa breccia in Dropbox sia un primo effetto del furto di dati da LinkedIn, se così fosse, nei prossimi mesi potrebbero moltiplicarsi i login non autorizzati a diversi siti e servizi. Le indagini di Dropbox sono ancora in corso, nei prossimi giorni dovrebbero arrivare ulteriori informazioni sulla vicenda.