Un data breach avvenuto quattro anni fa, ma la cui portata è stata chiarita solo nei giorni scorsi.
È questo il motivo che ha spinto in questi giorni Dropbox a inviare una email ai suoi utenti invitandoli a modificare la password di accesso al loro account.
Il fatto è che nei giorni scorsi il sito statunitense Motherboard ha reso noto di aver ricevuto una lista contenente i dettagli di 68 milioni di utenti del servizio. Per ciascun indirizzo email e hash delle password, che in ogni caso sembra non siano finite nel dark web.
L’hashing delle password è una delle misure di sicurezza di base per chi offre servizi ad accesso protetto. Senza l’hashing, qualsiasi password salvata nel database potrebbe essere rubata se lo stesso database fosse compromesso e immediatamente riutilizzata, soprattutto laddove gli utenti non fanno uso di unique password per ciascuno dei servizi cui sono iscritti.
Il responsabile della sicurezza di Dropbox ha tenuto a precisare che non si sia trattato di un incidente di sicurezza e che non vi sono riscontri che alcuno degli account sia stato oggetto di accesso illecito.
La richiesta di reset delle password secondo lo stesso responsabile fa parte di un più esteso programma di ridefinizione dei livelli di sicurezza e ha interessato in particolare tutti quegli utenti che si sono iscritti al servizio prima del 2012 e che da allora non hanno effettuato alcun cambio di password.
In ogni caso, da allora Dropbox, oltre all’hashing ha adottato anche una protezione con salt, utilizzando cioè una sequenza casuale di bit.
In crittografia si definiscono salt dati casuali utilizzati in associazione a funzioni unidirezionali che “nascondono” le password.