Dopo i recenti scandali legati al furto di dati su iCloud, ora è la volta di Dropbox. Circa sette milioni di credenziali di accesso al popolare servizio di sharing e di archiviazione sarebbero state rubate, o almeno questo è quanto rivendicato da un gruppo hacker, che a dimostrazione del furto ha postato online una parte di questi dati, relativi a circa 400 account. I cybercriminali hanno poi minacciato di pubblicare ulteriori liste di username e password, a meno di ricevere sostanziose donazioni in Bitcoin.
La società californiana ha voluto immediatamente smentire che la fuga di dati fosse riconducibile ad account Dropbox, decidendo comunque per precauzione, in un secondo momento, di resettare tutti i profili coinvolti nel presunto leak. L'azienda ha anche comunicato che gli “utenti a rischio” riceveranno immediatamente una notifica per agevolare il ripristino dell’account.
Di chi è la colpa, ammesso che la rivendicazione degli hacker sia attendibile? “I recenti articoli che sostengono Dropbox sia stato hackerato non sono veritieri”, recita il blogpost. “Le vostre cose sono al sicuro. Gli username e le password a cui si fa riferimento in queti articoli sono state rubate da altri servizi, non collegati a Dropbox”. I criminali dunque avrebbero rubato altrove, da servizi non adeguatamente protetti, delle credenziali di accesso che hanno poi riutilizzato, andando “per tentativi”, su Dropbox.
L’illecito in questione, dunque, fonda le sue radici in una brutta abitudine particolarmente diffusa: il riuso delle stesse password su servizi diversi. Abitudine molto rischiosa, perché apre le porte a violazioni su tutti gli account collegati a un utente, anche se il furto di dati avviene in uno solo di questi servizi. Quanto alla gravità dell’allarme specifico, i portavoce di ropbox hanno sottolineato che la “grande maggioranza delle password pubblicate era già scaduta da tempo. Tutte le altre sono state disattivate”. Nel dubbio, l’utilizzo dell’autenticazione a due fattori rimane sempre una buona pratica.