Questo non è un invito, ma un obbligo: Dropbox si è fatta avanti in queste ore per avvisare tutti gli utenti che non hanno mai cambiato la propria password da metà 2012 di intervenire subito, pena il non poter più accedere al proprio account. Per evitare ondate di panico e far sembrare il tutto la conseguenza di un hackeraggio, l’azienda ha sottolineato in un blog post la natura “solamente preventiva della misura: non ci sono segni che il tuo account sia stato violato”. L’obbligo, come detto, colpisce solo le persone che non hanno mai cambiato chiave d’accesso negli ultimi quattro anni. “Comunque”, ha aggiunto Dropbox, “chiunque abbia utilizzato la stessa password anche su altri siti è invitato modificarla ovunque. Vi consigliamo inoltre di attivare la verifica in due passaggi”.
È probabile che la scelta della società sia legata in qualche modo all’imponente fuga di credenziali che colpì Linkedin nel 2012, quando le password di ben 117 milioni di account finirono nelle mani sbagliate. Una fuoriuscita di dati venuta però alla luce in tutta la sua gravità solo negli ultimi mesi, quando a maggio un hacker ha deciso di mettere in vendita sul Web le informazioni di accesso al prezzo di 2.200 dollari l’una.
La violazione dei sistemi di Linkedin è sicuramente datata, ma accade spesso che le chiavi di accesso agli account non vengano mai cambiate: pratica diffusa soprattutto tra gli utenti più sbadati e che meno si interessano delle questioni di sicurezza delle identità virtuali. Dropbox ha inoltre sottolineato come, durante ricerche interne su possibili minacce, sia stato scoperto un vecchio set di credenziali (indirizzi email e password con funzioni hash) probabilmente ottenute da estranei nel 2012.
Violazione scoperta e risolta già allora dal team di sicurezza di Dropbox, quando un hacker entrò nell’account di un dipendente che conteneva un elenco di indirizzi mail. Per aggiungere uno strato di sicurezza in più ai sistemi di autenticazione, dal 2015 il servizio di storage sulla nuvola offre a tutti i propri iscritti la verifica in due passaggi, impostabile direttamente dal menu del proprio account.