האקרים גנבו 70 מיליון סיסמאות של משתמשי דרופבוקס

משתמשים בדרופבוקס (Dropbox)? כדאי לכם לשנות את סיסמת הכניסה לשירות, כי לפי ידיעות שונות, קרוב ל-70 מיליון סיסמאות של השירות נגנבו ומסתובבות ברחבי הרשת מאז 2012, שבמהלכה אירעה הפריצה. דרופבוקס עצמה יזמה פנייה ללקוחות שסיסמתם נגנבה ושלחה להם הודעות בהצעה להחליף אותה.

בשירות שיתוף הקבצים משנים את גרסתם: אם בעבר הם טענו כי הפריצה כללה גניבה של כתובות אי-מייל בלבד, כעת הם מודים שהיא כללה גם את הסיסמאות. ב-2012 היו לחברה 100 מיליון משתמשים, כלומר שליותר משני שלישים מהם נגנבו הסיסמאות והכתובות.

דרופבוקס החלה באחרונה בתהליך של אתחול סיסמאות, לאחר שנחשפו חשבונות מקוונים שכנראה היו קשורים לדליפה הענקית בלינקדאין (LinkedIn). על פי אתר Motherboard, נחשפו חמישה ג'יגה-בייט של קבצים, שמכילים 68,680,741 פרטי גישה לחשבונות.

בהצהרה שפרסמה דרופבוקס היא טענה שלא בוצעה כניסה לא חוקית לשום חשבון ושעדכון הסיסמאות מכסה את כל החשבונות שסיסמתם נגנבה.

"אבטחת מידע היא לא דבר מובן מאליו"

לדברי דיוויד אם, חוקר אבטחה ראשי בקספרסקי (Kaspersky), "בעולם הדיגיטלי של ימינו דליפות הופכות לאירוע נפוץ. הפריצה באבטחה של דרופבוקס מזכירה את הפריצה האחרונה לטמבלר (Tumblr) בכך שהדליפה, או היקפה, לא היו ברורות לזמן מה".

החוקר הוסיף כי "לקוחות המפקידים את המידע האישי שלהם אצל ספק ברשת צריכים לדעת בוודאות שהוא שמור באופן מאובטח. על כל החברות המטפלות במידע אישי רובצת האחריות לאבטח אותו כראוי. עם זאת, חשוב שהמשתמש יבין שלא ניתן לראות באבטחת מידע דבר מובן מאליו, מכיוון שלעולם לא ניתן לדעת מתי הפרטים נמצאים בסכנה, כפי שניכר מדליפה זו".

"אנחנו ממליצים למשתמשים להשתמש בסיסמאות מורכבות, שנתמכות על ידי מנהל סיסמאות, ולהשתמש אימות רב-שכבתי, כדי להתגונן מפני איומים", ציין אם.

בדבריו התייחס החוקר גם לפן הארגוני. הוא קרא לארגונים "להיערך לתרחיש שבו ההאקרים יחדרו. קיים מעבר של ארגונים מאסטרטגיה הגנתית לשיפור המוכנות שלהם וזו מגמה חיובית. לדוגמה, דרופבוקס הסוותה ותיבלה סיסמאות (Hash and Salt), ומיד לאחר מכן ייעצה לכל הלקוחות לשנות את הסיסמאות כאמצעי זהירות. אנחנו יודעים שאנשים רבים משתמשים באותן סיסמאות בכמה וכמה חשבונות אונליין, כך שחשוב שאלה שנפגעו ינקטו בצעדים כדי לשנות את הסיסמאות שלהם בחשבונות מקוונים אחרים".

"ארבע שנים הן תקופה ארוכה עבור פרטים אישיים להיות חשופים", ציין אם. "תקנות הגנת הנתונים החדשות (GDPR) של האיחוד האירופי, שייכנסו לתוקף ב-2018, ישפיעו לחיוב. הן יחייבו את החברות לפעול ואנחנו מקווים שהמהלך יביא להקטנת מספר הדליפות שיזוהו בדיעבד. יש בהחלט מקום לדון בשאלה לגבי יעילות נעילת השערים בלינקדאין – ארבע שנים אחרי שהסוסים ברחו מהאורווה".

באילו אמצעים כדאי לארגונים לנקוט?

"בעוד שפתרונות אבטחה ממזערים משמעותית את הסיכון למתקפה מוצלחת, יש אמצעים נוספים שעסקים יכולים לנקוט בהם כדי לספק הגנה מקיפה יותר", ציין אם. "אלה כוללים הפעלת תוכנה עדכנית, ביצוע ביקורות אבטחת מידע תקופתיות בקוד האתר והרצת מבחני חדירה לתשתית הארגון. השפעה חיובית תהיה גם להטמעה של תוכניות הכשרה, כדי להגביר מודעות לאבטחת מידע בקרב עובדים".

לדבריו, "מניעה תמיד טובה יותר מתרופה בדיעבד, והדרך הטובה ביותר עבור ארגונים להילחם במתקפות סייבר נמצאת בהתחלה – באמצעות הפעלת אסטרטגיית אבטחת סייבר אפקטיבית, לפני שהחברה הופכת למטרה למתקפות".

השתתף בהכנת הידיעה: יוסי הטוני