Natten till tisdagen publicerades vad som sades vara ett axplock av inte mindre än 7 miljoner stulna kontouppgifter från lagringstjänsten Dropbox. Länkar som publicerades på Reddit visade hundratals användarnamn och tillhörande lösenord som enligt ett officiellt uttalande från Dropbox inte ska komma från deras system.
Bara dagar efter att visselblåsaren Edward Snowden uttalade sig om säkerhetsbristerna hos molnlagringstjänsten kommer nästa bakslag för Dropbox. Företaget målas ut som syndabok i en tråd på Reddit där en av medlemmarna som läckt information om lösenorden hävdade att totalt 7 miljoner konton stulits från Dropbox. Mot donationer till specifika Bitcoin-konto skulle den första mindre läckan efterföljas av utdelning av fler användaruppgifter.
Flera rapporter om fungerande kontouppgifter dök också upp under natten medan Dropbox också var snabba med att kommentera de läckta användaruppgifterna. Företaget publicerade ett officiellt uttalande på sin företagsblogg där man förnekar att användaruppgifterna kommer från Dropbox servrar. Uppgifterna ska enligt Dropbox vara stulna från en eller flera andra tjänster men som så ofta vara identiska med de inloggningsuppgifter som användare även nyttjar på Dropbox – ett förfarande företaget passar på att varna för.
”Recent news articles claiming that Dropbox was hacked aren’t true. Your stuff is safe. The usernames and passwords referenced in these articles were stolen from unrelated services, not Dropbox. Attackers then used these stolen credentials to try to log in to sites across the internet, including Dropbox. We have measures in place to detect suspicious login activity and we automatically reset passwords when it happens.”
Dropbox menar också att man aktiverat åtgärder för att upptäcka suspekta inloggningsförsök och återsällt många av de lösenord som skulle kunna vara påverkade. I sitt blogginlägg rekommenderar man även användare att aktivera så kallad två-stegsverifiering av sina kontouppgifter. Ett system som kombinerar ett traditionellt lösenord med en andra verifieringsenhet, som exempelvis din mobiltelefon och dess telefonnummer. Hur man aktiverar och använder sig av en två-stegsverifiering går att läsa mer om på Dropbox-hemsida.
Oavsett vartifrån de läckta kontouppgifterna härstammar är det återigen värt att tänka på den brist av kontroll man som användare har när det kommer till molntjänster där data inte lagras lokalt utan på servrar runtom i världen. Samt att alltid använda sig av olika lösenord och inloggningsuppgifter för separata tjänster.
