Hace un par de meses se conoció que el popular de servicio de almacenamiento en la nube Dropbox, había sufrido un incidente de seguridad que se ha saldado con 68 millones de cuentas robadas. Como era de esperar, el «dump» de dicha base de datos robada de Dropbox ya se encuentra disponible en Internet y cualquiera la puede descargar.
A finales de agosto os informamos que Dropbox estaba reseteando las contraseñas de una gran cantidad de usuarios. Cuando un servicio de Internet resetea las contraseñas de sus usuarios es porque han sufrido un incidente grave de seguridad, aunque siempre lo nieguen en primera instancia.
El hackeo a Dropbox se llevó a cabo en el año 2012 y afectó a un total de 68 millones de cuentas, una auténtica barbaridad. El mes pasado un ciberdelincuente vendía la base de datos de cuentas robadas en la web profunda por un precio de 1200 dólares, sin embargo, se ha descubierto que un investigador de seguridad ha subido a Internet esta base de datos gratuitamente.
El portal Have I Been Pwned fueron de los primeros en obtener esta base de datos para actualizar su servicio, y que cualquier pudiera comprobar gratuitamente si su correo electrónico estaba afectado por el incidente de seguridad.
Aunque Dropbox utiliza una gran cantidad de medidas de seguridad para proteger las contraseñas de sus usuarios, no ha impedido que se filtre la base de datos. La base de datos que podemos descargar gratuitamente tiene tanto el correo electrónico como el hash de la contraseña (no está en texto plano).
La parte positiva de la filtración de esta base de datos es que casi la mitad de las cuentas (32 millones), utilizan la función de hash BCrypt, por lo que será muy complicado poder obtener las contraseñas en texto plano de los usuarios. El resto de cuentas únicamente utilizan SHA-1, aunque se cree que utilizaron Salt para que no sea tan trivial el descifrado de las contraseñas.
Tenéis toda la información sobre esta filtración de la base de datos en The Hacker News, donde encontraréis también el enlace directo a la web que proporciona un Torrent para la descarga de la base de datos.
Según la compañía Dropbox, no se ha detectado ningún intento de acceso ilegítimo a las cuentas filtradas, además debemos recordar que resetearon todas las contraseñas de los usuarios afectados, por lo que esta base de datos únicamente servirá para fines de investigación.