Column


#Dropbox

‘Niet informeren = dom’

Wat is hot en trending op Twitter? In deze rubriek brengt SecurityVandaag iedere week in kaart wat het ‘beveiligingssentiment’ in deze digitale kletshoek is. Dit keer: #Dropbox. 

Als securityprofessional heeft u ’m natuurlijk niet ontvangen, de mail die Dropbox deze week stuurde aan zijn gebruikers die sinds halverwege 2012 hun wachtwoord niet meer hadden gewijzigd. Toch? In de mail kondigde de populaire opslagdienst aan dat lakse gebruikers binnenkort worden gedwongen om een ‘password reset’ uit te voeren. “This is purely a preventative measure, and we’re sorry for the inconvenience.” 

Top 10-breach 
Toch vriendelijk van Dropbox. Bij meerdere twitteraars gingen er echter lampjes branden, want ‘halverwege 2012’, was Dropbox toen niet het slachtoffer van een hack? “Die oude Dropbox-hack uit 2012 die alleen wat e-mailadressen trof? Die was veel groter en omvatte ook wachtwoorden”, zo meldde @Schellevis. Volgens de @Piratenpartij zijn er bij die hack meer dan 68 miljoen accountgegevens gelekt. “De Dropbox-hack is geverifieerd.” 

“The Dropbox hack is real”, zo voegde @sabinedewitte daar nog aan toe, met een verwijzing naar een blogpost van Troy Hunt. Deze Australische Microsoft-directeur gaat ook schuil achter ‘Have I Been pwned’ waar bezoekers kunnen checken of ook hun gegevens bij een hack zijn buitgemaakt. In de ‘Top 10 breaches’ op deze site staat de Dropbox-hack nu met stip op nummer 6 genoteerd.

De hacker kwam bij Dropbox binnen via een medewerkers van de opslagdienst, zo blijkt nu. De medewerker was in hetzelfde jaar slachtoffer van een grootschalige LinkedIn-hack, waardoor zijn LinkedIn-wachtwoord op straat kwam te liggen. Onfortuinlijk genoeg gebruikte hij het wachtwoord ook intern bij Dropbox. 

Doei Dropbox 
“Daarom kreeg ik een e-mail dat ik m’n wachtwoord moest veranderen”, merkte @roosvanvugt op. “Do it now!”, zo spoorde @sabinedewitte haar volgers aan. @zjuul nam rigoureuzere maatregelen. “Vandaag heb ik deze link bezocht: https://www.dropbox.com/account/delete. Doei Dropbox. Je was fijn, maar me niet informeren over een hack = dom.” 


Lees meer over