Dropbox ha in questi giorni avviato una procedura di reset della password per i vecchi account in seguito all’individuazione di credenziali di accesso rubate in circolazione in Rete, e ora l’incidente si arricchisce di nuovi dettagli grazie all’analisi dei dati resi disponibili online.
Il numero di account compromessi da una breccia risalente al 2012, tanto per cominciare, corrisponde a più di 68 milioni ; le password sono disponibili sotto forma di hash , “impronte” digitali delle stringhe originarie codificate in parte con l’algoritmo bcrypt (31 milioni) e in parte con SHA1 (36 milioni e rotti).
Dropbox avrebbe alterato l’algoritmo di hashing originario per rendere più robusta la sicurezza delle password, ed è probabilmente grazie a questa caratteristica che i dati sembrano essere attualmente a prova di cracking . Il fatto che il database stia circolando liberamente online è la riprova dello scarso valore delle informazioni per i cyber-criminali.
Le analisi dei dati confermano infine la natura precauzionale della procedura di reset della password imposta dalla corporation ai suoi utenti storici (quelli appunto registratisi prima del 2012), anche se resta l’imbarazzo per il furto degli account subito da Dropbox.
Alfonso Maruccia