69 miljoen inloggegevens buitgemaakt bij Dropbox-hack

Bij de hack van Dropbox in 2012 zijn niet alleen e-mailadressen op straat beland, maar ook wachtwoorden van miljoenen mensen, blijkt nu.

Dat schrijven TechCrunch en Motherboard, die dat via bronnen binnen Dropbox hebben vernomen. Dropbox heeft dit inmiddels bevestigd. Dropbox heeft gebruikers onlangs hun wachtwoorden opnieuw laten invoeren, nadat een hack uit 2012 aan het licht kwam. Het werd toen niet duidelijk om hoeveel gegevens het precies ging.

In totaal zou het gaan om vier bestanden van in totaal 5GB, waarin data staat van 68.680.741 accounts. Volgens een anonieme medewerker van Dropbox kloppen al die gegevens. Het opnieuw instellen van de wachtwoorden was volgens beveiligingshoofd Patrick Heim van Dropbox 'een proactieve actie'. Volgens hem zijn daarmee alle potentieel geraakte gebruikers weer safe. Dropbox raadde aan om altijd tweestapsverificatie in te schakelen en gaf de tip om andere diensten, die mogelijk van hetzelfde wachtwoord als Dropbox voorzien waren, te veranderen.

Wachtwoorden niet zomaar te gebruiken

Aanvankelijk stelde Dropbox dat de hack alleen e-mailadressen had buitgemaakt en dat het om een klein aantal ging. De hack blijkt nu dus veel groter. De wachtwoorden die nu online staan, zijn echter niet zomaar te gebruiken. 32 miljoen daarvan zijn beveiligd met bcrypt, daarnaast zijn er veel van een encryptie met sha-1 voorzien, een minder veilig en ouder algoritme. Alle wachtwoorden zijn verder beveiligd met een salt - wat betekent dat er data aan het wachtwoord is toegevoegd, zodat inbrekers er lastiger bij kunnen.

In 2012 kwamen hackers binnen op Dropbox dankzij een wachtwoord van een medewerker, die hetzelfde wachtwoord gebruikte voor LinkedIn, waarvan ook gegevens op straat waren beland.