Alfonso Maruccia

Dropbox, password datate ma autentiche

Emergono nuovi dettagli sulla mega-breccia subita anni or sono dal servizio di cloud storage: la veridicità delle credenziali di accesso è confermata. I rischi per gli utenti? Molto bassi, a quanto pare

Roma - Dropbox ha in questi giorni avviato una procedura di reset della password per i vecchi account in seguito all'individuazione di credenziali di accesso rubate in circolazione in Rete, e ora l'incidente si arricchisce di nuovi dettagli grazie all'analisi dei dati resi disponibili online.

Il numero di account compromessi da una breccia risalente al 2012, tanto per cominciare, corrisponde a più di 68 milioni; le password sono disponibili sotto forma di hash, "impronte" digitali delle stringhe originarie codificate in parte con l'algoritmo bcrypt (31 milioni) e in parte con SHA1 (36 milioni e rotti).

Dropbox avrebbe alterato l'algoritmo di hashing originario per rendere più robusta la sicurezza delle password, ed è probabilmente grazie a questa caratteristica che i dati sembrano essere attualmente a prova di cracking. Il fatto che il database stia circolando liberamente online è la riprova dello scarso valore delle informazioni per i cyber-criminali.
Le analisi dei dati confermano infine la natura precauzionale della procedura di reset della password imposta dalla corporation ai suoi utenti storici (quelli appunto registratisi prima del 2012), anche se resta l'imbarazzo per il furto degli account subito da Dropbox.

Alfonso Maruccia
Notizie collegate
40 Commenti alla Notizia Dropbox, password datate ma autentiche
Ordina
  • Come funziona la crittografia dei cloud più sicuri (tipo LastPass, Dashlane, Tresorit, Sync.com)?

    1) Viene generato un hash molto forte della master password (se l'utente la dimentica ha perso tutto)
    2) Questo hash viene usato come chiave per criptare i dati reali (file, password)
    3) A volte si preferisce criptare un certificato per rendere più veloce il cambio della master password
    4) I dati vengono criptati sul client (quindi quelli che passano nel tunnel SSL sono già criptati)
    5) Quasi tutti questi servizi criptano nuovamente i dati sul server

    Gli algoritmi più comunemente usati (PBKDF2, AES, SHA) sono sicuri?

    1) Nell'informatica la sicurezza totale non esiste, ma questi sono algoritmi opensorce largamente usati, tratti da funzioni matematiche collaudate. Vengono usati per proteggere segreti militari, quindi se venissero violati ci sarebbero problemi ben più seri della password di Facebook.
    2) La domanda vera è se questi provider di servizi usano bene le librerie. Ho letto ultimamente alcuni articoli sui password manager e le loro vulnerabilità sono sempre legate a funzioni aggiuntive (tipo "autofill" nei browser), i motori di crittografia sono solidi.

    Quindi cloud si o cloud no?

    1) Personalmente non salvo dati sensibili su cloud che non offrono una crittografia lato client (vedi GDrive, OneDrive, Dropbox), li uso comunque per dati poco importanti.
    2) Uso un password manager, ma faccio attenzione ad usare le funzioni di contorno (ad esempio l'autofill lo uso solo su un browser che tengo pulito). Ritengo il rischio minore di quello di perdere o dimenticare le password.
    3) I rischi ci sono in tutte le soluzioni e ognuno deve valutare pro e contro in base alle sue esigenze.
    non+autenticato
  • - Scritto da: Cannondale
    > Come funziona la crittografia dei cloud più
    > sicuri (tipo LastPass, Dashlane, Tresorit,
    > Sync.com)?

    E tu te la bevi?
    Prosit!

    Fino ad ora quello che si e' visto e' che tutti i sistemi che hanno trapanato e carpito dati, contenevano dati IN CHIARO.

    Tu puoi accedere a quei cloud e verificare la qualita' della loro crittografia?

    Oppure te lo ha detto il loro commerciale e quindi ci hai creduto?
  • ma hai letto o no cosa ha scritto? i dati vengono criptati lato client, puoi vedertelo tu stesso che sono criptati, lato server è solo una (inutile) protezione aggiuntiva.

    https://lastpass.com/support.php?cmd=showfaq&id=42...
    non+autenticato
  • - Scritto da: Cannondale

    > 1) Personalmente non salvo dati sensibili su
    > cloud che non offrono una crittografia lato
    > client (vedi GDrive, OneDrive, Dropbox), li uso
    > comunque per dati poco
    > importanti.

    io ho fatto la mia scelta è uso OneDrive e GDrive per tutto. MS e Google offrono standard di sicurezza elevatissimi e delle comodità e integrazioni che alternative come Tresorit non offrono. non hanno la crittografia lato client, quindi loro o NSA potrebbero decifrare i file, ma sono conscio della cosa e mi sta bene così.
    non+autenticato
  • > io ho fatto la mia scelta è uso OneDrive e GDrive

    Buon pro ti faccia .

    > per tutto. MS e Google offrono standard di
    > sicurezza elevatissimi e delle comodità e
    > integrazioni che alternative come Tresorit non
    > offrono. non hanno la crittografia lato client,
    > quindi loro o NSA potrebbero decifrare i file, ma
    > sono conscio della cosa e mi sta bene
    > così.

    Che poi è facile decifrare un file in chiaro.
    non+autenticato
  • ... è una cagata pazzesca. Sopratutto per lo storage. Per il calcolo invece puo' essere utile se serve occasionalmente, ma sempre tenendo a mente che tutti i dati in input e output è come se diventassero pubblici. In entrambi i casi il cloud offre una sicurezza provabile pari a zero (basandosi sulle promesse è invece la cosa più sicura che c'è... ma chi ci crede è semplicemente un fesso).
    Il concetto è generale. Non è solo rivolto a Dropbox e al suo leak di password. I servizi Cloud/SaaS sono da evitare il più possibile. E non vanno mai utilizzati se ci sono di mezzo dati privati (propri o altrui).
    non+autenticato
  • Il cloud va bene per la lista della spesa o per condividere la classifica del torneo di calcetto.

    Salvare nella nuvola dati sensibili è un suicidio, a meno di voler far partecipi degli affari personali i vari hacker, FBI, NSA, ecc.
    non+autenticato
  • infatti se leggessi l'articolo oltre al titolo, capiresti che le password sono criptate e quella di dropbox è solo una precauzione.

    il cloud è supersicuro, io in locale non ho più nulla, l'insicurezza è colpa dell'utonto che non capisce come funziona.

    uscite dalle caverne/cantine.
    non+autenticato
  • Quando poi ti ritroverai che i dati salvari nel cloud non saranno più di tua proprietà, ma diventeranno di proprietà di chi gestisce il servizio (vedi continui cambi unilaterali di policy - es. recentemente Whatsapp - ne riparleremo. E saranno loro a decidre come usarli questi dati "tanto privati e sicuri" come dici.
    E comunque attraverso l'ingegneria sociale, falle, bug, etc... non esiste al mondo un sistema a prova di hacker - soprattutto se voglio attaccare seriamente - e così tutti i tuoi bei dati privati verrano sbandierati ai quattro vendi per la gioia di chi ama ficcanasare nella vita degli altri, perché non ne ha una propria.
    Ma ormai sarà troppo tardi...Occhiolino
    non+autenticato
  • certamente fa più notizia whatsapp che modifica leggermente una policy o dropbox che nel 2012 si è vista sottrarre dei dati criptati. nessuno però parla del signor mario rossi che salvava tutte le sue cose su una chiavetta usb con backup su un hdd usb, poi un bel giorno sono arrivati i ladri e mario rossi ha perso tutto. al povero luca bianchi invece uno sfortunato incendio ha mandato in fumo tutto il suo archivio, mentre la signora monica verdi ha perso i dati di accesso alla banca perchè li teneva scritti su un foglietto in cantina e un topo se l'è mangiato.
    non+autenticato
  • Hai ragione per quanto riguarda la maggior sicurezza di accesso e di salvaguardia dei dati. Come lo è sicuramente la possibilità di usarli su dispositivi diversi e anche in mobilità, oltre che da sistemi operativi differenti. Non c'è alcun dubbio...
    Anch'io in parte uso il cloud, soprattutto quando devo fare assistenza o quando ho bisogno di informazioni in mobilità.
    Ma posso anche assicurarti di aver sentito gente che salva password, iban, conti finanziari (senza tenere in considerazioni di foto, video e altro di strettamente personale).
    Il cloud di per sé non è ne bene né male, la differenza la fa chi lo usa. E' anche vero però che spingere così tanto (sia da alcuni utenti che dai colossi dell'IT) sul fatto che tutto debba essere cloud, penso sia la scemenza più grossa del mondo.
    Alla fine allora potrebbe accadere che un terremoto, un incendio o qualsiasi altra catastrofe distrugga sale server intere nel mondo e così rischi lo stesso di perdere parte dei dati, come accennavi tu...
    Se vogliamo portar sfiga, nessuno è esente da catastrofi/furti (il ladro in casa è uguale all'hacker per il cloud).
    non+autenticato
  • - Scritto da: Auguri...
    > Ma posso anche assicurarti di aver sentito gente
    > che salva password, iban, conti finanziari (senza
    > tenere in considerazioni di foto, video e altro
    > di strettamente personale).
    io sono uno di quelli.

    > Alla fine allora potrebbe accadere che un
    > terremoto, un incendio o qualsiasi altra
    > catastrofe distrugga sale server intere nel mondo
    > e così rischi lo stesso di perdere parte dei
    > dati, come accennavi tu...
    > Se vogliamo portar sfiga, nessuno è esente da
    > catastrofi/furti (il ladro in casa è uguale
    > all'hacker per il
    > cloud).
    le aziende che forniscono questi servizi hanno infrastrutture geo-delocalizzate, con backup in più parti del mondo.
    non+autenticato
  • - Scritto da: ONLY CLOUD
    > - Scritto da: Auguri...
    > > Ma posso anche assicurarti di aver sentito
    > gente
    > > che salva password, iban, conti finanziari
    > (senza
    > > tenere in considerazioni di foto, video e
    > altro
    > > di strettamente personale).
    > io sono uno di quelli.

    Guarda, ognuno è libero di farsi del male come preferisce. Non per questo significa che chi tiene le cose fuori dal cloud sia retrogrado o incapace.
    Come sempre sarà la storia a dire chi aveva ragione. Il resto sono solo chiacchiere per una supremazia che comunque nessuno avrà... almeno oggi.Occhiolino
    non+autenticato
  • - Scritto da: Auguri...
    > - Scritto da: ONLY CLOUD
    > > - Scritto da: Auguri...
    > > > Ma posso anche assicurarti di aver sentito
    > > gente
    > > > che salva password, iban, conti finanziari
    > > (senza
    > > > tenere in considerazioni di foto, video e
    > > altro
    > > > di strettamente personale).
    > > io sono uno di quelli.
    >
    > Guarda, ognuno è libero di farsi del male come
    > preferisce. Non per questo significa che chi
    > tiene le cose fuori dal cloud sia retrogrado o
    > incapace.
    > Come sempre sarà la storia a dire chi aveva
    > ragione. Il resto sono solo chiacchiere per una
    > supremazia che comunque nessuno avrà... almeno
    > oggi.
    >Occhiolino

    Apprezzo il tuo approccio equilibrato.
    Io nel cloud salvo dati di diversa sensibilità, però quelli importanti sono cifrati. Non è sicurezza assoluta, lo so, ma quella non esiste. Chi salva in locale senza cifrare con TRueCrypt o simili è probabilmente più a rischio, perché i ladri possono sempre entrarti in casa.
    Izio01
    4255
  • - Scritto da: ONLY CLOUD
    > - Scritto da: Auguri...
    > > Ma posso anche assicurarti di aver sentito
    > gente
    > > che salva password, iban, conti finanziari
    > (senza
    > > tenere in considerazioni di foto, video e
    > altro
    > > di strettamente personale).
    > io sono uno di quelli.
    >
    > > Alla fine allora potrebbe accadere che un
    > > terremoto, un incendio o qualsiasi altra
    > > catastrofe distrugga sale server intere nel
    > mondo
    > > e così rischi lo stesso di perdere parte dei
    > > dati, come accennavi tu...
    > > Se vogliamo portar sfiga, nessuno è esente da
    > > catastrofi/furti (il ladro in casa è uguale
    > > all'hacker per il
    > > cloud).
    > le aziende che forniscono questi servizi hanno
    > infrastrutture geo-delocalizzate, con backup in
    > più parti del
    > mondo.

    Come credo che non debbo insegnarlo io visto che siete tutti Informatici con la I maiuscola su PI, che la prima REGOLA di un buon bakup è quello di dilazionare copie in posti diversificati!

    Ed ecco che il ladro, l'incendio o la signora rossi non fà una piega.Sorride
    non+autenticato
  • quanto sbattimento, io lascio questa incombenza a dei professionisti...
    non+autenticato
  • - Scritto da: ONLY CLOUD
    > certamente fa più notizia whatsapp che modifica
    > leggermente una policy o dropbox che nel 2012 si
    > è vista sottrarre dei dati criptati. nessuno però
    > parla del signor mario rossi che salvava tutte le
    > sue cose su una chiavetta usb con backup su un
    > hdd usb, poi un bel giorno sono arrivati i ladri
    > e mario rossi ha perso tutto. al povero luca
    > bianchi invece uno sfortunato incendio ha mandato
    > in fumo tutto il suo archivio, mentre la signora
    > monica verdi ha perso i dati di accesso alla
    > banca perchè li teneva scritti su un foglietto in
    > cantina e un topo se l'è
    > mangiato.

    Sogna!
    Fino ad oggi l'unica certezza e' che chi ha messo i suoi dati sul cloud li ha diffusi a cani&porci.
    I dati dei tuoi luca bianchi e monica verdi invece non li ha nessuno.