PplWare Mobile

Saiba já se a sua conta do Dropbox está em risco

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. MiguelDias says:

    E depois ainda existem aqueles que dizem que colocar a vida toda na cloud não existe perigo…

  2. Luis Rosa says:

    Será coincidência?
    Instalei o Windows Aniversário, que tantos problemas tem dado. E só passado algum tempo reparei que fiquei sem acesso à DropBox a partir do PC. Quando tento entrar através do Chrome na DropBox, diz-me para alterar a palavra passe… mas no smartphone e no tablet continuo a ter acesso a ela e a usála.
    Mudava a palavra passe, mas até tenho medo de ficar, depois, sem acesso à DropBox no smarphone e no tablet!!!

  3. MiguelDias says:

    Se a empresa foi hackeada desde 20102 tinha como obrigação avisar os utilizadores do mesmo, um simples email para mudar passw não chega muito ppl ignora isso.

    Esta empresa perdeu a minha confiança!

    • rjSampaio says:

      o que foi roubado não permite a ninguém entrar na conta, não foram roubadas passwords e sim as hash e era salted e encriptadas.

      • LCB says:

        Ser difícil não torna impossível. Neste caso garanto-lhe que as passwords foram descobertas pois eu fui um feliz comtemplado. Penso que não se conhece publicamente se os hackers decriptaram a chave de hashing ou se por ataque de força bruta ou outro qualquer.

        • rjSampaio says:

          A questão é, a dropbox e a propria fonte da noticia não dizem que as passwords foram roubadas, logo o pplware dizer que foram é um erro.
          Se calhar era melhor o pplware explicar o porque que se calhar a dropbox tentou nao alarmar a malta, porque realmente não existe grande perigo.

          O que queres dizer que foste um dos contemplados? a que? alguém entrou na tua conta?

          Nem brute force em tabelas podem ajudar a recuperar as passwords onde apenas se guardou o hash com salt, ainda por cima encryptados também, com duas tecnicas diferentes.

          Ou sabes o salt, ou não sabes, e neste caso ainda tens de saber as chave de encryptação das mesmas.

          • Pedro Pinto says:

            Não percebo, então se é tão seguro porque pede a Dropbox para mudar a password?…já que não há problema nenhum 😀

          • rjSampaio says:

            @Pedro Pinto
            Boa politica, provavelmente agora que aconteceu isto vão mudar a salt, o que implica que se gere novas passwords.
            Provavelmente é por isso que eles tinham dois tipos de encriptação SHA1 e bcrypt, se calhar no inicio era sha1, depois passaram para bcrypt mas nao obrigaram ninguém a mudar a pass, dai que ficaram com algumas hash antigas.

        • joao magalhaes says:

          Os hackers vão estar sempre à frente e como não existe nada 100% seguro e muito menos impossível o melhor mesmo é não ter coisas privadas na cloud, no telemóvel, tablet, enfim, dispositivos que se ligam à net pois tudo tem o ponto fraco e eles vão descobrir.

      • Marco Sousa says:

        error, una md5/sha1 ou o mais dificil sha2 pode ser recuperada a password. Existe varios centenas de diccionarios para todos as combinações até password com 64 caracteres.

        Mas simplesmente com o teu correo já é uma informação privada que não pode ser divulgada, e em caso de roubo debe ser avisado.

      • Marco Sousa says:

        Então em perigo sim:
        1) una password em md5/SHA1 etc.. até 64 caracteres pode ser recuperada com uma probabilidade alta
        2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.

        • rjSampaio says:

          ya
          1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.

          Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
          ya não vai ser recuperada…

        • rui says:

          Sim. O mais seguro é mudar as pass, mas desde já desejo boa sorte aos hackers em terem acesso ao meu telemovel também por causa da autenticação de 2 fatores. xD
          Até podem descobrir a pass, mas sem isso, nada feito.

  4. Peter says:

    por acaso n tinha nada lá mas PWNED!! E com uma pass forte…

  5. Vitor says:

    Estranho: no site site haveibeenpwned, pesquisando pelo email que está registado na dropbox (conta email da universidade) diz-me que a conta não foi atacada mas, se pesquisar por outra conta (gmail) diz-me que a conta dropbox foi atacada… e eu não tenho as contas associadas nem nunca fiz log in com esta conta da gmail / google +

  6. rjSampaio says:

    Corrijam lá o a noticia, nenhuma password foi roubada, a partida ninguém esta em perigo de nada.
    O que foi roubado foram usernames e as hash salted.

    • Marco Sousa says:

      Então em perigo sim:
      1) una password em md5/SHA1 etc.. pode ser recuperada
      2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.

      • rjSampaio says:

        ya
        1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.

        Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
        ya não vai ser recuperada…

    • Pedro Pinto says:

      Hoje já não deve haver (grandes) serviços que guardam password em “plain text”. Depois de teres usernames e a hash da password…

      • rjSampaio says:

        em plain espero que não, mas nem é preciso tanto até o linkdin usava SHA1 sem salt, basicamente se largares a hash no google, directamente sem nenhum termo de pesquisa, automaticamente tens origem.
        Um bocado ridículo.

  7. gigbola says:

    Mudei a pass do dropbox a uns dias atrasando recebi o e-mail deles, agora descobri nesse site que tbm fui pnewd no LinkedIn!!!

  8. Modem says:

    Pelo que li noutro site, do DropBox foram boubados os endereços de email de login, que juntando com os dados de login que foram roubados em 2012 do LinkedIn permitem em muitos casos entrar no DropBox porque os utilizadores usaram os mesmos dados de login nos dois sites.

  9. Hugo Cunha says:

    “…pode desde já saber se a sua conta está entre as 68 que foram…”

    Falta ali a palavra “milhões” depois dois 68…

    Eu também fui galardoado por este saque mas penso que o pior de toda está situação foi a maneira como a Dropbox ligou com a situação. Agiu na forma de e-mail a sugerir a alteração da password e esperando que o caso não fosse parar às notícias.

    • rjSampaio says:

      editaram e tiraram “passwords” por isso o erro.
      Não é preciso alarme porque as contas não estao em perigo, nao foram roubadas passwords e os dados que foram roubados não permitem nenhum acesso a conta.

  10. João Reis says:

    Em todos os serviços Cloud/Facebook/eMail etc….
    Usem 2nd Step Verification
    Autenticação em Dois Passos.

    As senhas atuais deixaram de ser seguras, o que existe é uma forma segura de controlar quando usam a nossa senha.
    As senhas acabam roubadas e colocadas em listas PWNED para BruteForce, ou seja, por muito rara que seja a senha pode já estar numa lista. Estando em lista não adianta que seja uma senha complexa ou nao, ela esta la e vai ser testada mais tarde ou mais cedo.

    Nada é 100% mas usem a verificação por SMS no telemovel, pelo menos esta. Quando forem a tentar entrar na vossa conta, recebem um email a avisar e uma SMS, se nao forem voces a entrar, entao é algum chinoca ou russo a tentar 😀 nao vai conseguir

  11. Pedro Canilho says:

    A internet é um mundo estranho…

    Ora digam-me lá uma coisa… um dos problemas de segurança é o facto dos hackers descobrirem o email ou nome de utilizador com o qual temos conta no dropbox, certo? Ora, quem me garante que ao fazer a pesquisa nesse site que indicam na noticia, não estou a facultar o meu email a pessoas mal intencionadas? É que se por acaso o meu email não tinha sido descoberto, passaria agora a haver uma maior probabilidade de o ser visto que o introduziria em mais um local, logo mais uma base de dados para ser hackeada…

    Não sei porquê mas não confio nada nestes sites, nem nestas coisas de “ah põe aqui o teu email para ver se foste hackeado” ou aquelas tretas de ha uns anos de “ah põe aqui o teu email de msn para ver quem dos teus amigos de bloqueou”… tipo a meu ver, corrijam-me se estiver enganado, ao introduzir o meu email nesses sites, estou a aumentar a probabilidade de alguém o encontrar visto que o estou a introduzir em mais locais que não o site do serviço em si…

    Enfim… pode ser uma parvoíce pensar assim mas mete-me alguma confusão…

    • rjSampaio says:

      e tens toda a razão, é uma questão de confiança, o mesmo de dar o teu numero de cartao de credito a um site, se for pequenino nunca na vida, mas na amazon ja das e nem é preciso o codigo
      Das duas uma ou é uma falcatrua muito bem planeada, ou é seguro, esse site já existe a muitos anos.

      Por outro lado, é so o email, se mantiveres uma boa politica de passwords (diferente para cada site) não tens de te preocupar.

      Assume se que todos têm um email mais professional (sem contar com os “putos”) e a partida todos têm esses serviços associados, Dropbox, google, pinterest, facebook, linkdin, etc etc. não estas a facultar grande coisa, no máximo recebes spam.

      • João Reis says:

        Esquece política de senhas diferentes.
        O problema tem de ser entendido e não achar que a nossa senha é espetacular.
        O leak das senhas parte do site onde elas estão a ser utilizadas. Portanto a sua senha já era é o que deve pensar como garantido. A única forma de protecção é colocar a autenticação em dois passos. Também não é perfeita mas a sua senha deixa de ser problema pois só com ela não fazem nada.

  12. Ze says:

    Conversa antiga.. Sem qualquer dificuldade e apenas usando browser e um motor de busca há anos q Milhoes de contas do Dropbox sao acedidas.

  13. Eunito says:

    Então é quem usa dupla autenticação com telemovel?
    O meu e-mail estava na lista mas a dupla autenticação não deveria deixar um utilizador descansado???

    • rjSampaio says:

      e estas, mesmo que não tenhas a dupla autentificarão, apenas sabem que o teu email têm uma conta dropbox.

    • João Reis says:

      Sim e estás seguro.
      As senhas são descobertas pelos hackers e entregues/vendidas para serem acrescentadas a base de dados vulgo dicionários para ataques.
      O que se deve entender aos olhos da atualidade da Internet: As senhas não servem como segurança por si só. Elas são conhecidas a partida ou seja não são mas podem já existir em listas de bruteforce/ataques.
      Devem sempre usar dois modos de autenticação.
      Em alguma vez por muito fiável que seja o site, Ebay amazon etc devem usar o número verdadeiro do vosso cartão de crédito.
      Usem MBNET criem números de cartão virtuais com o plafond determinado ao gasto que vão fazer.
      Qualquer site é vulnerável. O Facebook tambem. Usem dois factores com o Telemovel. Eu sei que estão a dar o vosso número mas não há mundo perfeito. Segurança e privacidade não existem ao mesmo tempo. Temos de conceder. Até podem usar números recarregáveis só ligam para estas coisas.

  14. Alcv says:

    Tinha uma conta no dropbox desde há algum tempo. Continha ficheiros relacionados com o trabalho, mas nada confidencial. Após a mensagem da dropbox alterei a pass mas o conteúdo desapareceu. Não sei se aconteceu com mais alguém, mas para mim guardar mais alguma coisa na cloud, não obrigado

  15. MJSantos says:

    Pelo que me parece, a info fornecida por este site em si não é totalmente de confiança, pois indica problemas com uma conta minha num serviço que nunca utilizei.

    • Alves says:

      Exatamente!
      Este site é uma treta… Inventei um mail, na hora, “eueueu@gmail.com” e deu logo 5 ataques:
      Adobe, heroes of Newhert, lifeboat, Neopets e Quantum stresser!
      Experimentei com mails meus sem contas Dropbox associadas e deu ataque à Dropbox!

      • João Reis says:

        ele valida noutros ataques anteriores e em BDs conhecidas, os emails que testaste existem nessas BDs, qual ataque elas foram sacadas nao interessa, interessa é que existe o conhecimento que o teu email pode receber SPAM pois é ativo e valido.
        Hehehe
        Entendes?

      • rjSampaio says:

        esse email existe, não foste tu que o criaste…

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.