Sono trascorse ormai più di due settimane da quando alcuni utenti avevano ipotizzato un attacco hacker su Dropbox, e l’azienda responsabile del servizio ha appena confermato quanto accaduto: alcuni malintenzionati hanno rubato email e password degli utenti da siti Web di terze parti, e hanno usato tali credenziali per accedere ai loro account. L’attacco attualmente sembra però esser stato finalizzato solo all’invio di spam.
Con un aggiornamento condiviso sul proprio blog ufficiale, Dropbox ha così commentato quanto accaduto:
«La nostra indagine ha accertato che i nomi utente e password rubate di recente da altri siti Web sono stati utilizzati per accedere a un piccolo numero di account Dropbox. Abbiamo contattato questi utenti e li abbiamo aiutati a progettere i loro account. Una password rubata è anche stata usata per accedere all’account Dropbox di un nostro dipendente, dove era contenuto un documento progettuale con gli indirizzi email degli utenti. Crediamo che questo accesso sia finalizzato allo spam».
In pratica, i cracker avrebbero rubato gli account Dropbox per ottenere gli indirizzi email degli utenti e inviare loro spam a nome Dropbox. Insomma qualcosa che era stato già ipotizzato due settimane fa, quando 295 persone avevano segnalato di aver ricevuto messaggi indesiderati sul proprio account di posta elettronica. La maggior parte di questa utenza era europea e soprattutto tedesca, olandese e britannica.
Purtroppo non è la prima volta che accade una cosa del genere, e non sarà l’ultima. Nel frattempo Dropbox ha però intrapreso qualche misura aggiuntiva di sicurezza per limitare i potenziali attacchi hacker futuri, e nel frattempo ha diramato qualche consiglio utile a tutelare i nostri account. Innanzitutto, è bene ricordarsi di non usare mai la stessa password per due o più diversi servizi, perché se qualcuno ne entra in possesso potrà entrare ovunque quelle credenziali siano valide.
Dropbox implementerà nuovi meccanismi automatici sul servizio che aiuteranno a identificare le attività sospette, introdurrà una nuova pagina che esaminerà gli accessi attivi per ogni account, nonché l’autenticazione a due passi che comporterà l’introduzione di due codici d’accesso per provare la propria identità (password e un codice temporaneo inviato al telefono cellulare personale).