Dropbox раскрыла подробности кражи паролей «некоторых пользователей» Имена и пароли пользователей Dropbox были украдены со сторонних сайтов и затем использованы для входа в «небольшое число» аккаунтов файлохранилища. Один из украденных паролей принадлежал сотруднику Dropbox. Через его учетную запись злоумышленники получили доступ к списку адресов электронной почты пользователей сервиса. Таковы результаты расследования сообщений о всплеске спам-рассылок, поступивших от пользователей Dropbox в середине июля, сообщается в блоге Dropbox. Компания не сообщает о точном числе аккаунтов, пароли от которых были украдены, однако уверяет, что связалась со всеми пользователями, подвергнувшимися хакерской атаке, и помогла им защитить учетные записи. Dropbox также ввела дополнительные меры безопасности для предотвращения подобных случаев в будущем. В течение ближайших нескольких недель каждый пользователь Dropbox сможет включить функцию двойной аутентификации, которая запрашивает при входе в аккаунт не только пароль, но и уникальный код. Кроме того, на сервисе появились новые автоматизированные механизмы для выявления подозрительной активности, которые анализируют все входы в аккаунт пользователя и в случае обнаружения подозрительной активности запрашивают смену пароля. Несколько недель назад пользователи Dropbox заметили, что на их почтовые ящики, привязанные к облачному файлохранилищу, стало «падать» большое количество спама. Многие из сообщений поступили от пользователей Dropbox из Германии, Великобритании и Нидерландов. В последнее время участились сообщения о кражах паролей с различных сервисов. Так, в середине июля хакеры украли 450 тысяч учетных записей, принадлежащих пользователям Yahoo. За день до этого стало известно о краже 420 тысяч хэшей паролей пользователей сервиса Formspring, а месяцем ранее в сеть утекли пароли других популярных сайтов – деловой соцсети LinkedIn, сайта знакомств eHarmony и музыкального сервиса Last.fm. 1.08.12 http://www.ruformator.ru/novosti/010812/dropbox-raskryla-podrobnosti-kraji-paroley-nekotoryh-polzovateley http://blog.dropbox.com/index.php/security-update-new-features/
Dropbox вводит двухфакторную аутентификацию Компания Dropbox призналась в корпоративном блоге, что рассылка спама двухнедельной давности была осуществлена в результате несанкционированного доступа к некоторым аккаунтам, пароли от которых злоумышленники узнали благодаря массовой утечке паролей с других сайтов. Для расследования этого инцидента компания Dropbox привлекла независимых экспертов по информационной безопасности, которые и помогли восстановить полную картину происшедшего. Среди прочих, злоумышленники получили доступ к аккаунту одного из разработчиков Dropbox, у которого в папке лежал документ с почтовыми адресами пользователей — именно эта база позволила злоумышленникам осуществить рассылку спама. Это уже далеко не первая проблема с безопасностью Dropbox за последние два года. Например, в июле 2011 года обнаружилось, что в некоторые аккаунты Dropbox можно зайти с произвольным паролем. Очевидно, что факт многочисленных взломов недвусмысленно намекает, что систему безопасности сайта нужно кардинально улучшать. Руководство Dropbox это понимает и объявило о введении двухфакторной аутентификации с использованием мобильных устройств. Новую систему введут в строй в течение двух недель. Кроме двухфакторной аутентификации, внедряются дополнительные меры защиты: Новая страница с указанием активности пользователя, IP-адресами и временем последних случаев входа в аккаунт. Новые автоматизированные механизмы для помощи в выявлении подозрительной активности. Принудительная смена пароля пользователя в определённых условиях (например, если он долго не менялся). Дата: 01.08.2012 http://www.xakep.ru/post/59084/