Sono sempre più diffusi i casi di grandi servizi web che finiscono hackerati con la conseguenza che le credenziali dei rispettivi utenti vengono messe in vendita nel deep web. Dopo Yahoo, LinkedIn, MySpace, Tumblr, Adobe, a finire nel mirino dei trafficanti del web oscuro sarebbero stati gli utenti di un famoso hosting online, Dropbox, che – nel 2012 – avrebbe subito il furto di ben 68 milioni di account (email+password).
Dropbox ha confermato alla rivista online Motherbord l’accaduto spiegando che il pericolo sarebbe limitato per varie ragioni. Innanzitutto, il database risalirebbe al 2012 e, quindi, chi ha cambiato la password in seguito o chi ha creato l’account a partire da quella data può ritenersi al sicuro.
Oltre a ciò, i dati finiti in rete – sotto forma di un database da 5 GB – non sarebbero in chiaro: le password, ad esempio, sarebbero in forma “hashed and salted”. questo vuol dire che la password, indipendentemente dalla sua lunghezza, è stata tradotta in un codice alfanumerico a lunghezza fissa. A quest’ultimo, generato secondo complessi algoritmi, sono stati aggiunti (il “salare”) una manciata di caratteri casuali volti a depistare eventuali hacker in possesso del corretto algoritmo.
Tuttavia, le cautele adottate a suo tempo da Dropbox non escludono del tutto il pericolo rappresentato da dati personali liberamente circolanti in rete seppur codificati: gli hacker sono spesso in possesso di appositi dizionari, o “tavole arcobaleno”, che – in sostanza – per ogni codice hash riportano la parola di origine. Se questa, poi, è molto semplice o banale, il compito di un malintenzionato è esponenzialmente semplificato. Aggiungiamoci il fatto che, sovente, si usa una password per account diversi di servizi di varia importanza e la frittata è bell’e fatta.
Per questo motivo Dropbox ha resettato le password probabilmente coinvolte ed ha invitato a cambiar password coloro che presumano di essere rimasti coinvolti nello spiacevole affaire di cui sopra. Per verificare l’eventuale compromissione del proprio account Dropbox, è possibile avvalersi del servizio “haveibeenpwned.com” e, parimenti, verificare quali dispositivi (e con quali indirizzi IP) si sono connessi al proprio account Dropbox grazie all’apposita sezione del servizio in questione (Account > Impostazioni > Sicurezza).
Oltre a cambiare la password, giacché Dropbox ne offre la possibilità, è consigliabile anche attivare – per il proprio account – l’autenticazione a due fattori: in questo caso, all’hacker non basterà avere username e password per tentare l’accesso. Dovrà essere in possesso anche dello smartphone sul quale riceverete il codice di sicurezza in forma di SMS!