Proponha uma correção, faça uma sugestão
Saiba já se a sua conta do Dropbox está em risco
Com o objectivo de não alarmar os utilizadores, a Dropbox arranjou uma forma simpática de informar que o seu serviço não tinha sido atacado. Para tal enviou uma mensagem a avisar os utilizadores que criaram as suas contas antes do primeiro trimestre de 2012 ou que não mudam a palavra-passe desde o segundo semestre de 2012, recomendando que o deviam fazer.
Sabe-se agora que mais de 68 milhões de contas foram roubadas. Saiba se a sua está na lista.
O ataque ao Dropbox foi real! Mais de 68 milhões de passwords foram roubadas e a primeira coisa a fazer é mudar já a sua password. Mas uma vez que a Dropbox refere que é preciso mudar a password de contas que foram criadas antes do primeiro trimestre de 2012 ou que não a mudam a palavra-passe desde o segundo semestre de 2012….é provável que já não se lembre.
Para tal o site haveibeenpwned já tem informação sobre o ataque ao Dropbox e pode desde já saber se a sua conta está entre as 68 milhões que foram “apanhadas”.
Se a sua conta estiver associada a algum tipo de ataque, deve mudar já a password da mesma (se ainda não o fez) e também mudar essa password em outros serviços.
Para além da alteração da palavra-passe, o Dropbox recomenda ainda que sejam usadas outras medidas de segurança. É de evitar a utilização das palavras-passe partilhadas entre serviços e o acesso ao Dropbox em locais pouco seguros. É ainda recomendado que seja usada a autenticação de dois factores para uma segurança elevada.
Este artigo tem mais de um ano
Loading ...
E depois ainda existem aqueles que dizem que colocar a vida toda na cloud não existe perigo…
Nem percebo porque o fazem.
Nem na cloud, nem no telemovel ou dispositivos que se ligam à internet. Nunca vai haver segurança pois haverá sempre o lado bom e lado mau e sinceramente penso que os melhores estão no lado mau.
Será coincidência?
Instalei o Windows Aniversário, que tantos problemas tem dado. E só passado algum tempo reparei que fiquei sem acesso à DropBox a partir do PC. Quando tento entrar através do Chrome na DropBox, diz-me para alterar a palavra passe… mas no smartphone e no tablet continuo a ter acesso a ela e a usála.
Mudava a palavra passe, mas até tenho medo de ficar, depois, sem acesso à DropBox no smarphone e no tablet!!!
Muda a password, depois só tens de ir ao tablet etc e voltar a fazer login com a password nova.
Obrigado
Se a empresa foi hackeada desde 20102 tinha como obrigação avisar os utilizadores do mesmo, um simples email para mudar passw não chega muito ppl ignora isso.
Esta empresa perdeu a minha confiança!
o que foi roubado não permite a ninguém entrar na conta, não foram roubadas passwords e sim as hash e era salted e encriptadas.
Directo nao mas…
Ser difícil não torna impossível. Neste caso garanto-lhe que as passwords foram descobertas pois eu fui um feliz comtemplado. Penso que não se conhece publicamente se os hackers decriptaram a chave de hashing ou se por ataque de força bruta ou outro qualquer.
Ora nem mais.
A questão é, a dropbox e a propria fonte da noticia não dizem que as passwords foram roubadas, logo o pplware dizer que foram é um erro.
Se calhar era melhor o pplware explicar o porque que se calhar a dropbox tentou nao alarmar a malta, porque realmente não existe grande perigo.
O que queres dizer que foste um dos contemplados? a que? alguém entrou na tua conta?
Nem brute force em tabelas podem ajudar a recuperar as passwords onde apenas se guardou o hash com salt, ainda por cima encryptados também, com duas tecnicas diferentes.
Ou sabes o salt, ou não sabes, e neste caso ainda tens de saber as chave de encryptação das mesmas.
Não percebo, então se é tão seguro porque pede a Dropbox para mudar a password?…já que não há problema nenhum 😀
@Pedro Pinto
Boa politica, provavelmente agora que aconteceu isto vão mudar a salt, o que implica que se gere novas passwords.
Provavelmente é por isso que eles tinham dois tipos de encriptação SHA1 e bcrypt, se calhar no inicio era sha1, depois passaram para bcrypt mas nao obrigaram ninguém a mudar a pass, dai que ficaram com algumas hash antigas.
Os hackers vão estar sempre à frente e como não existe nada 100% seguro e muito menos impossível o melhor mesmo é não ter coisas privadas na cloud, no telemóvel, tablet, enfim, dispositivos que se ligam à net pois tudo tem o ponto fraco e eles vão descobrir.
error, una md5/sha1 ou o mais dificil sha2 pode ser recuperada a password. Existe varios centenas de diccionarios para todos as combinações até password com 64 caracteres.
Mas simplesmente com o teu correo já é uma informação privada que não pode ser divulgada, e em caso de roubo debe ser avisado.
Então em perigo sim:
1) una password em md5/SHA1 etc.. até 64 caracteres pode ser recuperada com uma probabilidade alta
2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.
ya
1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.
Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
ya não vai ser recuperada…
Metade delas já foram com bcrypt, pelo que é ainda mais difícil.
Sim. O mais seguro é mudar as pass, mas desde já desejo boa sorte aos hackers em terem acesso ao meu telemovel também por causa da autenticação de 2 fatores. xD
Até podem descobrir a pass, mas sem isso, nada feito.
por acaso n tinha nada lá mas PWNED!! E com uma pass forte…
Isso não quer dizer que tenham descoberto a tua password, apenas o teu mail.
Estranho: no site site haveibeenpwned, pesquisando pelo email que está registado na dropbox (conta email da universidade) diz-me que a conta não foi atacada mas, se pesquisar por outra conta (gmail) diz-me que a conta dropbox foi atacada… e eu não tenho as contas associadas nem nunca fiz log in com esta conta da gmail / google +
Corrijam lá o a noticia, nenhuma password foi roubada, a partida ninguém esta em perigo de nada.
O que foi roubado foram usernames e as hash salted.
Então em perigo sim:
1) una password em md5/SHA1 etc.. pode ser recuperada
2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.
ya
1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.
Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
ya não vai ser recuperada…
Hoje já não deve haver (grandes) serviços que guardam password em “plain text”. Depois de teres usernames e a hash da password…
em plain espero que não, mas nem é preciso tanto até o linkdin usava SHA1 sem salt, basicamente se largares a hash no google, directamente sem nenhum termo de pesquisa, automaticamente tens origem.
Um bocado ridículo.
Mudei a pass do dropbox a uns dias atrasando recebi o e-mail deles, agora descobri nesse site que tbm fui pnewd no LinkedIn!!!
Não acredites em tudo o que vês online.
O teu email foi identificado, mas não significa que estejas em perigo.
Pelo que li noutro site, do DropBox foram boubados os endereços de email de login, que juntando com os dados de login que foram roubados em 2012 do LinkedIn permitem em muitos casos entrar no DropBox porque os utilizadores usaram os mesmos dados de login nos dois sites.
“…pode desde já saber se a sua conta está entre as 68 que foram…”
Falta ali a palavra “milhões” depois dois 68…
Eu também fui galardoado por este saque mas penso que o pior de toda está situação foi a maneira como a Dropbox ligou com a situação. Agiu na forma de e-mail a sugerir a alteração da password e esperando que o caso não fosse parar às notícias.
editaram e tiraram “passwords” por isso o erro.
Não é preciso alarme porque as contas não estao em perigo, nao foram roubadas passwords e os dados que foram roubados não permitem nenhum acesso a conta.
Em todos os serviços Cloud/Facebook/eMail etc….
Usem 2nd Step Verification
Autenticação em Dois Passos.
As senhas atuais deixaram de ser seguras, o que existe é uma forma segura de controlar quando usam a nossa senha.
As senhas acabam roubadas e colocadas em listas PWNED para BruteForce, ou seja, por muito rara que seja a senha pode já estar numa lista. Estando em lista não adianta que seja uma senha complexa ou nao, ela esta la e vai ser testada mais tarde ou mais cedo.
Nada é 100% mas usem a verificação por SMS no telemovel, pelo menos esta. Quando forem a tentar entrar na vossa conta, recebem um email a avisar e uma SMS, se nao forem voces a entrar, entao é algum chinoca ou russo a tentar 😀 nao vai conseguir
A internet é um mundo estranho…
Ora digam-me lá uma coisa… um dos problemas de segurança é o facto dos hackers descobrirem o email ou nome de utilizador com o qual temos conta no dropbox, certo? Ora, quem me garante que ao fazer a pesquisa nesse site que indicam na noticia, não estou a facultar o meu email a pessoas mal intencionadas? É que se por acaso o meu email não tinha sido descoberto, passaria agora a haver uma maior probabilidade de o ser visto que o introduziria em mais um local, logo mais uma base de dados para ser hackeada…
Não sei porquê mas não confio nada nestes sites, nem nestas coisas de “ah põe aqui o teu email para ver se foste hackeado” ou aquelas tretas de ha uns anos de “ah põe aqui o teu email de msn para ver quem dos teus amigos de bloqueou”… tipo a meu ver, corrijam-me se estiver enganado, ao introduzir o meu email nesses sites, estou a aumentar a probabilidade de alguém o encontrar visto que o estou a introduzir em mais locais que não o site do serviço em si…
Enfim… pode ser uma parvoíce pensar assim mas mete-me alguma confusão…
e tens toda a razão, é uma questão de confiança, o mesmo de dar o teu numero de cartao de credito a um site, se for pequenino nunca na vida, mas na amazon ja das e nem é preciso o codigo
Das duas uma ou é uma falcatrua muito bem planeada, ou é seguro, esse site já existe a muitos anos.
Por outro lado, é so o email, se mantiveres uma boa politica de passwords (diferente para cada site) não tens de te preocupar.
Assume se que todos têm um email mais professional (sem contar com os “putos”) e a partida todos têm esses serviços associados, Dropbox, google, pinterest, facebook, linkdin, etc etc. não estas a facultar grande coisa, no máximo recebes spam.
Esquece política de senhas diferentes.
O problema tem de ser entendido e não achar que a nossa senha é espetacular.
O leak das senhas parte do site onde elas estão a ser utilizadas. Portanto a sua senha já era é o que deve pensar como garantido. A única forma de protecção é colocar a autenticação em dois passos. Também não é perfeita mas a sua senha deixa de ser problema pois só com ela não fazem nada.
Conversa antiga.. Sem qualquer dificuldade e apenas usando browser e um motor de busca há anos q Milhoes de contas do Dropbox sao acedidas.
Então é quem usa dupla autenticação com telemovel?
O meu e-mail estava na lista mas a dupla autenticação não deveria deixar um utilizador descansado???
e estas, mesmo que não tenhas a dupla autentificarão, apenas sabem que o teu email têm uma conta dropbox.
Sim e estás seguro.
As senhas são descobertas pelos hackers e entregues/vendidas para serem acrescentadas a base de dados vulgo dicionários para ataques.
O que se deve entender aos olhos da atualidade da Internet: As senhas não servem como segurança por si só. Elas são conhecidas a partida ou seja não são mas podem já existir em listas de bruteforce/ataques.
Devem sempre usar dois modos de autenticação.
Em alguma vez por muito fiável que seja o site, Ebay amazon etc devem usar o número verdadeiro do vosso cartão de crédito.
Usem MBNET criem números de cartão virtuais com o plafond determinado ao gasto que vão fazer.
Qualquer site é vulnerável. O Facebook tambem. Usem dois factores com o Telemovel. Eu sei que estão a dar o vosso número mas não há mundo perfeito. Segurança e privacidade não existem ao mesmo tempo. Temos de conceder. Até podem usar números recarregáveis só ligam para estas coisas.
Tinha uma conta no dropbox desde há algum tempo. Continha ficheiros relacionados com o trabalho, mas nada confidencial. Após a mensagem da dropbox alterei a pass mas o conteúdo desapareceu. Não sei se aconteceu com mais alguém, mas para mim guardar mais alguma coisa na cloud, não obrigado
Pelo que me parece, a info fornecida por este site em si não é totalmente de confiança, pois indica problemas com uma conta minha num serviço que nunca utilizei.
Exatamente!
Este site é uma treta… Inventei um mail, na hora, “eueueu@gmail.com” e deu logo 5 ataques:
Adobe, heroes of Newhert, lifeboat, Neopets e Quantum stresser!
Experimentei com mails meus sem contas Dropbox associadas e deu ataque à Dropbox!
ele valida noutros ataques anteriores e em BDs conhecidas, os emails que testaste existem nessas BDs, qual ataque elas foram sacadas nao interessa, interessa é que existe o conhecimento que o teu email pode receber SPAM pois é ativo e valido.
Hehehe
Entendes?
esse email existe, não foste tu que o criaste…