A ben due settimane dall’ipotizzato attacco hacker ai danni di Dropbox, l’azienda responsabile del servizio online di archiviazione file ha confermato quanto accaduto: hacker sconosciuti hanno rubato nomi utente e password degli utenti da siti Web di terze parti, successivamente provando ad accedere agli account Dropbox proprio con tali credenziali.
«La nostra indagine ha accertato che i nomi utente e password rubate di recente da altri siti Web sono stati utilizzati per accedere a un piccolo numero di account Dropbox. Abbiamo contattato questi utenti e li abbiamo aiutati a progettere i loro account. Una password rubata è anche stata usata per accedere all’account Dropbox di un nostro dipendente, dove era contenuto un documento progettuale con gli indirizzi email degli utenti. Crediamo che questo accesso sia finalizzato allo spam». Così il team ha commentato quanto accaduto in un post condiviso sul proprio blog, benché la comunicazione sia avvenuta in maniera tardiva, quando ormai è passato molto tempo dall’azione illecita avvenuta sul servizio.
Secondo Dropbox, dunque, quanto avvenuto ha a che fare con il fatto che i cracker avrebbero voluto ottenere gli indirizzi email degli utenti per inviare loro spam a nome Dropbox. Qualcosa che, in effetti, gli utilizzatori del servizio avevano segnalato già due settimane fa, quando avevano ricevuto parecchie email associate appunto a Dropbox. Erano 295 le persone che avevano inviato una segnalazione di tale tipo: la maggior parte di questi ultimi era di origine europea e proveniente soprattutto da Germania, Olanda e Regno Unito.
Dropbox ha comunque deciso di intraprendere alcune soluzioni per evitare che un’azione del genere possa verificarsi in futuro. Per questo, ha annunciato che implementerà nuovi meccanismi automatici sul servizio che aiuteranno a identificare le attività sospette; l’arrivo di una nuova pagina che esaminerà tutti gli accessi attivi a ogni account; l’autenticazione a due step che appunto richiederà agli utenti di provare due volte la propria identità (con una password prima, e con un codice temporaneo inviato al cellulare personale) e, infine, in alcuni casi potrà richiedere agli iscritti di modificare il proprio codice d’accesso, ad esempio quando è troppo semplice o comune o ancora quando non viene modificato da troppo tempo.
Evitare di utilizzare la medesima password per più servizi è l’ultimo consiglio diramato dalla società, in quanto un cracker che ne viene in possesso avrebbe l’opportunità di violare tutti gli account registrati dallo stesso utente.