В результате  взлома сервиса облачного хранения Dropbox, произошедшего ещё в 2012 году, в руки атакующих
попала (https://www.troyhunt.com/the-dropbox-hack-is-real/) информация об учётных записях более 68 млн пользователей сервиса, включая их email-адреса и хэши паролей. Полученные в результате атаки данные во вторник были выставлены на продажу и теперь доступны для проверки на сайте haveibeenpwned.com (https://haveibeenpwned.com/). Общий размер базы составил 5 Гб.

Для хэширования паролей 32 млн аккаунтов применялась защищённая функция bcrypt, для остальных учётных записей сохранялся обычный хэш SHA-1 с солью (https://ru.wikipedia.org/wiki/%D0%A1%D0%.... При этом в опубликованных файлах хэши bcrypt приведены с солью, а для хэшей SHA-1 соль вырезана, что делает невозможным подбор.

На прошлой неделе Dropbox объявил (https://blogs.dropbox.com/dropbox/2016/08/resetting-password... об инициировании процесса смены старых паролей пользователей, не уточняя, в чём причина такой рекомендации. После того как  в СМИ попала информация об утечке, представители Dropbox признали факт взлома, но заверили, что никаких следов неавторизованного входа в аккаунты пользователей не зафиксировано. Также утверждается (http://arstechnica.com/security/2016/08/dropbox-hackers-stol... что утечка произошла достаточно давно и в БД находятся параметры учётных записей по состоянию на середину 2012 года.

URL: http://arstechnica.com/security/2016/08/dropbox-hackers-stol.../
Новость: http://www.opennet.me/opennews/art.shtml?num=45053

• Утечка учётных записей 68 млн пользователей Dropbox,АнонимХ, 21:48 , 31-Авг-16
• Утечка учётных записей 68 млн пользователей Dropbox,Michael Shigorin, 22:01 , 31-Авг-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Билл, 09:59 , 01-Сен-16
    • Утечка учётных записей 68 млн пользователей Dropbox,Michael Shigorin, 14:28 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Typhoon, 16:57 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 22:11 , 31-Авг-16
• Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 22:19 , 31-Авг-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Sabakwaka, 22:49 , 31-Авг-16
    • Утечка учётных записей 68 млн пользователей Dropbox,АнонимХ, 23:16 , 31-Авг-16
      • Утечка учётных записей 68 млн пользователей Dropbox,KOT040188, 23:28 , 31-Авг-16
        • Утечка учётных записей 68 млн пользователей Dropbox,АнонимХ, 23:58 , 31-Авг-16
          • Утечка учётных записей 68 млн пользователей Dropbox,KOT040188, 00:07 , 01-Сен-16
            • Утечка учётных записей 68 млн пользователей Dropbox,zloy_pingvin, 10:24 , 01-Сен-16
        • Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 10:01 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 22:50 , 31-Авг-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 05:20 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Брат, 23:06 , 31-Авг-16
• Утечка учётных записей 68 млн пользователей Dropbox,th3m3, 23:46 , 31-Авг-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Анонимусы, 00:02 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,dmr, 08:14 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Онаним, 01:47 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,alltiptop, 02:06 , 01-Сен-16
    • Утечка учётных записей 68 млн пользователей Dropbox,Онаним, 02:47 , 01-Сен-16
      • Утечка учётных записей 68 млн пользователей Dropbox,djoe, 05:35 , 01-Сен-16
        • Утечка учётных записей 68 млн пользователей Dropbox,Sluggard, 10:07 , 01-Сен-16
          • Утечка учётных записей 68 млн пользователей Dropbox,Michael Shigorin, 14:15 , 01-Сен-16
            • Утечка учётных записей 68 млн пользователей Dropbox,Sluggard, 14:51 , 01-Сен-16
          • Утечка учётных записей 68 млн пользователей Dropbox,YetAnotherOnanym, 21:00 , 01-Сен-16
            • Утечка учётных записей 68 млн пользователей Dropbox,Sluggard, 21:04 , 01-Сен-16
              • Утечка учётных записей 68 млн пользователей Dropbox,YetAnotherOnanym, 00:02 , 02-Сен-16
                • Утечка учётных записей 68 млн пользователей Dropbox,Sluggard, 00:05 , 02-Сен-16
      • Утечка учётных записей 68 млн пользователей Dropbox,кверти, 08:30 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Redneck, 03:42 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 02:48 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Онаним, 03:21 , 01-Сен-16
    • Утечка учётных записей 68 млн пользователей Dropbox,Crazy Alex, 03:57 , 01-Сен-16
      • Утечка учётных записей 68 млн пользователей Dropbox,Вы забыли заполнить поле Name, 05:04 , 01-Сен-16
        • Утечка учётных записей 68 млн пользователей Dropbox,АнонимХ, 06:37 , 01-Сен-16
        • Утечка учётных записей 68 млн пользователей Dropbox,Crazy Alex, 14:45 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Redneck, 03:49 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,iPony, 06:39 , 01-Сен-16
    • Утечка учётных записей 68 млн пользователей Dropbox,Потёртый, 14:12 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,djoe, 05:33 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Анонимко, 07:31 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 09:52 , 01-Сен-16
    • Утечка учётных записей 68 млн пользователей Dropbox,Анонимко, 10:36 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 10:36 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,pepto, 09:11 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Пахом, 10:04 , 01-Сен-16
  • Утечка учётных записей 68 млн пользователей Dropbox,Странник, 11:35 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,dr Equivalent, 14:32 , 01-Сен-16
• Утечка учётных записей 68 млн пользователей Dropbox,Аноним, 14:34 , 01-Сен-16

А я думаю, чо это они мне письма шлют для смены пароля

"We’re reaching out to let you know that if you haven’t updated your Dropbox password since mid-2012, you’ll be prompted to update it the next time you sign in. This is purely a preventative measure, and we’re sorry for the inconvenience."

Вот как выглядит типовая корпоративная ложь.  А я уж и забыл про этот сервис...

Почему ложь? Вполне так себе правда.

> Почему ложь?

Потому что downplaying.

Опять нужно писать про белогривых лошадок ))))))

haveibeenpwned.com - странный сайтик.
Про badoo с md5-хешами - абсолютно точно враки: я там работал 9 лет назад, и уже тогда хеши хранились соленые и не в md5. Впрочем, там помечено unverified...

Что теперь надо из новостей узнавать, почему мне нужно было менять пароль

>> из новостей узнавать, почему мне нужно было менять пароль...

Пароль надо менять раз в месяц.

Каждый день

Каждую минуту… Погодите, вы там что, личную порнуху держите? Или план по захвату власти? Я туда только снимки экрана лью ну и прочую дребедень…

Держу в дропбоксе бизнес-планы своих стартапов, меняю пароль каждый день. Продвинутый пользователь дропбокса же

А надо каждую минуту.

Апасна! каждые полминуты нужно!

А на снимках экрана внезапно может оказаться компромат, конфиденциальные данные.

Мы утаили от вас, что у нас украли 68 миллионов учетных записей. Теперь поверьте нам, что к ним никто не пытался получить доступ.

нельзя "украсть" то что они полагали своей собственостью в пику наивности своих "пользователей" и инвестолов из разведведомств США(а равно и персонала оттуда-же)

Вся эта петросянка с облаками, с самого начала было понятно, что это файлпомойки 2.0, только с общим доступом. Люди, которые хранят важные данные в сети - просто идиоты. Ведь все что попало в сеть - можно взломать. И этот взлом в очередной раз подтверждает, что идиоты должны и БУДУТ платить.

Я всегда говорил, что облака - зло.

А я всегда говорил что нужно мыслить логично.
Мыслить не логично -> беда.

Особенно когда они навязываются поставщиком оси.

Пофиг. Пусть попробуют подобрать по хэшу мой пароль в стиле w%gotЫ̆E%EZ_v@V×CJ%nCJG`g)B-ΩsE+ЩնꙬ…

Попробуй сам набрать его с телефона или испанской клавиатуры.

DropBox настраивается один раз после переустановки системы и забывается на следующие три года.

Но такой пароль забывается еще раньше :) А потом вдруг летит операционка, ломается железо, и т.д и т.п..

Для этого есть менеджеры паролей, а-ля KeePassX, и бэкапы их баз.

>> Но такой пароль забывается еще раньше :)
>> А потом вдруг летит операционка, ломается железо, и т.д и т.п..
> Для этого есть менеджеры паролей, а-ля KeePassX, и бэкапы их баз.

Кстати, на LVEE питерские ребята рассказывали про Pastilda (и показывали в деле): http://lvee.org/ru/abstracts/228

Ну это, на мой взгляд, уже к донглу ближе, чем к менеджеру паролей. Или нечто среднее. Для меня полезность такого устройства сомнительна как-то.

> Для этого есть менеджеры паролей, а-ля исписанная загадками бумажка, сложенная несколько раз и подсунутая под ножку стола, чтобы не качался.

Fixed

>> Для этого есть менеджеры паролей, а-ля исписанная загадками бумажка, сложенная несколько раз и подсунутая под ножку стола, чтобы не качался.
> Fixed

Полное собрание сочинений Л. Н. Толстого в 90 томах, с паролями, записанными на произвольных страницах произвольных томов, ага.

"Капитал" же!
Его и читать интереснее, чем "ВиМ", например.

> "Капитал" же!
> Его и читать интереснее, чем "ВиМ", например.

Лучше всего вообще что-то из Донцовой. Брезгливый человек даже не притронется, не то чтоб искать чего-то там начать.

>забывается на следующие три года

Вот и вантузоиды подтянулись. Вам страдать не привыкать, это уже ваш долг.

Подберут, только выглядеть он будет проще.

Люди, которые хранят важные данные в сети - просто идиоты. Ведь все что попало в сеть - можно взломать. Админ сити банка так же говорит. Аиргап наше всё.
Облака делают только лишь для того чтоб ДРМ впаривать игра в облаке вот и вся соль

Категорически согласен. Как говорится "there is no cloud, there is just someone else's computer". Тем не менее некоторые особо важные данные, особо сильно зашифровав лучше всё-таки забэкапить и туда на случай поломок/потерь/итп физических носителей. Ну и те данные, конфиденциальность которых хоть и желательна, но не принципиальна, при этом удобно иметь к ней доступ отовсюду и совместно с другими -тоже таки удобно залить туда.

Очень мало тех, у кого есть данные, которые не "особо сильно", а просто зашифровав каким-нибудь AES или ChaCha20, нельзя бэкапить в облачные хранилища.

> а просто зашифровав каким-нибудь AES или ChaCha20, нельзя бэкапить в облачные хранилища

Почему?

Не распарсил!

Я имел в виду, что для абсолютного большинства такой защиты достаточно для того, чтобы держать в облаках любые свои данные, которые они готовы держать на локальных устройствах.

У меня там (как и в других облаках) данных с грифом секретно не хранится, такие данные предпочитаю записывать на бумажку от руки. Но все равно обидно будет, если кто-то туда зайдет и похозяйничает.

А у меня там настройки для пульшаудио/альсы/опенала, чтоб под линуксами звук не шипел и не пердел.
Проведут атаку и увсё, буду слушать шипения или заикания во славу Поттеринга...

От ваших настроек теперь весь облачный сервис шипит и пердит. Неудивительно, что их ломают - с таким шипением-то!

Ни дня без взлома паролей какого-нить облачного сервиса..

Много лет храню в дропбоксе ценные данные наряду с прочим мусором.
И да, это то самое чувство, когда пофиг.

Пароль меняю раз в 6-8 месяцев. Когда подберут мой 26-значный пароль из цифр, символов в обоих регистрах и спецсимволов, пусть начинают подбирать пароли к AES256-контейнерам. Скриншотики же и фоточки природы можно наблюдать сразу же после подбора пароля к облаку. Я не против :)

Вы уже выдали длину пароля, словари, тип контейнера. Я вас поздравляю, можете взять пирожок с полки.

Ничто из этого не секретно, ибо:

У меня, у одного из 68 млн аккаунтов длина пароля 26 символов. Это притом, что там только хэши. ОМГ, меня теперь найдут?)

Словарь - самый сложный, если не брать в расчет непечатаемые символы (которые еще не факт, что нормально всем софтом того же дропбокса обрабатываются)

Тип контейнера - даже если бы AES256 был единственным алгоритмом примененного мной шифрования (вспомним, что ТС умеет применять их сразу пучком), то, учитывая стойкость алгоритма и реализации шифрования, мне бояться нечего.

В любом случае, даже если параноя настолько сильна, что за мной, Анонимкой в опеннете следят и все записывают, можно заключить, что у одного из 68 миллионов ВОЗМОЖНО утекших аккаунтов 26-значный пароль такой-то сложности, при этом в дропбоксе лежат криптоконтейнеры, шифрованные AES256.

Блин, походу меня раскрыли. Пошел менять внешность, голос, папиллярные узоры на пальцах и, конечно же, пол.

Если у вас нет паранойи, это не значит, что за вами не следят :D

Пароли, пароли...
Чего по их поводу переживать.
Всего-то делов - надо просто хранить в облаках зашифрованные файлы (encfs) или контейнеры (truecrypt и т.п.).
И всё!!!

Ну что как дела пользователи облаков?

NextСloud рулит.

Астрологи объявили неделю утечек.
Количество взломанных аккаунтов увеличилось вдвое.

Good news — no pwnage found!