Internet

Saiba já se a sua conta do Dropbox está em risco

46 Comentários

Com o objectivo de não alarmar os utilizadores, a Dropbox arranjou uma forma simpática de informar que o seu serviço não tinha sido atacado. Para tal enviou uma mensagem a avisar os utilizadores que criaram as suas contas antes do primeiro trimestre de 2012 ou que não mudam a palavra-passe desde o segundo semestre de 2012, recomendando que o deviam fazer.

Sabe-se agora que mais de 68 milhões de contas foram roubadas. Saiba se a sua está na lista.

dropbox

O ataque ao Dropbox foi real! Mais de 68 milhões de passwords foram roubadas e a primeira coisa a fazer é mudar já a sua password. Mas uma vez que a Dropbox refere que é preciso mudar a password de contas que foram criadas antes do primeiro trimestre de 2012 ou que não a mudam a palavra-passe desde o segundo semestre de 2012….é provável que já não se lembre.

Para tal o site haveibeenpwned já tem informação sobre o ataque ao Dropbox e pode desde já saber se a sua conta está entre as 68 milhões que foram “apanhadas”.

pw

Se a sua conta estiver associada a algum tipo de ataque, deve mudar já a password da mesma (se ainda não o fez) e também mudar essa password em outros serviços.

Para além da alteração da palavra-passe, o Dropbox recomenda ainda que sejam usadas outras medidas de segurança. É de evitar a utilização das palavras-passe partilhadas entre serviços e o acesso ao Dropbox em locais pouco seguros. É ainda recomendado que seja usada a autenticação de dois factores para uma segurança elevada.

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
dropbox

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Autenticação da Google tem falha grave que não será corrigida
Artigo anterior

Autenticação da Google tem falha grave que não será corrigida
ÚLTIMA HORA: Samsung suspende venda dos Galaxy Note 7
Próximo artigo

ÚLTIMA HORA: Samsung suspende venda dos Galaxy Note 7
PUB

Comentários

46

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de MiguelDias
    MiguelDias

    E depois ainda existem aqueles que dizem que colocar a vida toda na cloud não existe perigo…

    Responder
    1. Avatar de censo
      censo

      Nem percebo porque o fazem.

      Responder
    2. Avatar de joao magalhaes
      joao magalhaes

      Nem na cloud, nem no telemovel ou dispositivos que se ligam à internet. Nunca vai haver segurança pois haverá sempre o lado bom e lado mau e sinceramente penso que os melhores estão no lado mau.

      Responder
  2. Avatar de Luis Rosa
    Luis Rosa

    Será coincidência?
    Instalei o Windows Aniversário, que tantos problemas tem dado. E só passado algum tempo reparei que fiquei sem acesso à DropBox a partir do PC. Quando tento entrar através do Chrome na DropBox, diz-me para alterar a palavra passe… mas no smartphone e no tablet continuo a ter acesso a ela e a usála.
    Mudava a palavra passe, mas até tenho medo de ficar, depois, sem acesso à DropBox no smarphone e no tablet!!!

    Responder
    1. Avatar de Jorge
      Jorge

      Muda a password, depois só tens de ir ao tablet etc e voltar a fazer login com a password nova.

      Responder
      1. Avatar de Luis Rosa
        Luis Rosa

        Obrigado

        Responder
  3. Avatar de MiguelDias
    MiguelDias

    Se a empresa foi hackeada desde 20102 tinha como obrigação avisar os utilizadores do mesmo, um simples email para mudar passw não chega muito ppl ignora isso.

    Esta empresa perdeu a minha confiança!

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      o que foi roubado não permite a ninguém entrar na conta, não foram roubadas passwords e sim as hash e era salted e encriptadas.

      Responder
      1. Avatar de Pedro Pinto
        Pedro Pinto

        Directo nao mas…

        Responder
      2. Avatar de LCB
        LCB

        Ser difícil não torna impossível. Neste caso garanto-lhe que as passwords foram descobertas pois eu fui um feliz comtemplado. Penso que não se conhece publicamente se os hackers decriptaram a chave de hashing ou se por ataque de força bruta ou outro qualquer.

        Responder
        1. Avatar de Pedro Pinto
          Pedro Pinto

          Ora nem mais.

          Responder
        2. Avatar de rjSampaio
          rjSampaio

          A questão é, a dropbox e a propria fonte da noticia não dizem que as passwords foram roubadas, logo o pplware dizer que foram é um erro.
          Se calhar era melhor o pplware explicar o porque que se calhar a dropbox tentou nao alarmar a malta, porque realmente não existe grande perigo.

          O que queres dizer que foste um dos contemplados? a que? alguém entrou na tua conta?

          Nem brute force em tabelas podem ajudar a recuperar as passwords onde apenas se guardou o hash com salt, ainda por cima encryptados também, com duas tecnicas diferentes.

          Ou sabes o salt, ou não sabes, e neste caso ainda tens de saber as chave de encryptação das mesmas.

          Responder
          1. Avatar de Pedro Pinto
            Pedro Pinto

            Não percebo, então se é tão seguro porque pede a Dropbox para mudar a password?…já que não há problema nenhum 😀

          2. Avatar de rjSampaio
            rjSampaio

            @Pedro Pinto
            Boa politica, provavelmente agora que aconteceu isto vão mudar a salt, o que implica que se gere novas passwords.
            Provavelmente é por isso que eles tinham dois tipos de encriptação SHA1 e bcrypt, se calhar no inicio era sha1, depois passaram para bcrypt mas nao obrigaram ninguém a mudar a pass, dai que ficaram com algumas hash antigas.

        3. Avatar de joao magalhaes
          joao magalhaes

          Os hackers vão estar sempre à frente e como não existe nada 100% seguro e muito menos impossível o melhor mesmo é não ter coisas privadas na cloud, no telemóvel, tablet, enfim, dispositivos que se ligam à net pois tudo tem o ponto fraco e eles vão descobrir.

          Responder
      3. Avatar de Marco Sousa
        Marco Sousa

        error, una md5/sha1 ou o mais dificil sha2 pode ser recuperada a password. Existe varios centenas de diccionarios para todos as combinações até password com 64 caracteres.

        Mas simplesmente com o teu correo já é uma informação privada que não pode ser divulgada, e em caso de roubo debe ser avisado.

        Responder
      4. Avatar de Marco Sousa
        Marco Sousa

        Então em perigo sim:
        1) una password em md5/SHA1 etc.. até 64 caracteres pode ser recuperada com uma probabilidade alta
        2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.

        Responder
        1. Avatar de rjSampaio
          rjSampaio

          ya
          1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.

          Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
          ya não vai ser recuperada…

          Responder
          1. Avatar de May
            May

            Metade delas já foram com bcrypt, pelo que é ainda mais difícil.

        2. Avatar de rui
          rui

          Sim. O mais seguro é mudar as pass, mas desde já desejo boa sorte aos hackers em terem acesso ao meu telemovel também por causa da autenticação de 2 fatores. xD
          Até podem descobrir a pass, mas sem isso, nada feito.

          Responder
  4. Avatar de Peter
    Peter

    por acaso n tinha nada lá mas PWNED!! E com uma pass forte…

    Responder
    1. Avatar de May
      May

      Isso não quer dizer que tenham descoberto a tua password, apenas o teu mail.

      Responder
  5. Avatar de Vitor
    Vitor

    Estranho: no site site haveibeenpwned, pesquisando pelo email que está registado na dropbox (conta email da universidade) diz-me que a conta não foi atacada mas, se pesquisar por outra conta (gmail) diz-me que a conta dropbox foi atacada… e eu não tenho as contas associadas nem nunca fiz log in com esta conta da gmail / google +

    Responder
  6. Avatar de rjSampaio
    rjSampaio

    Corrijam lá o a noticia, nenhuma password foi roubada, a partida ninguém esta em perigo de nada.
    O que foi roubado foram usernames e as hash salted.

    Responder
    1. Avatar de Marco Sousa
      Marco Sousa

      Então em perigo sim:
      1) una password em md5/SHA1 etc.. pode ser recuperada
      2) divulgaram o teu email, que é uma informação privada, preparata para spam e tentativas de bloquear/acceder a tu conta.

      Responder
      1. Avatar de rjSampaio
        rjSampaio

        ya
        1)não usam md5/SHA1 directamente, usam salt, o que é completamente diferente, numa magnitude ridicula.

        Pensa assim ja existem tabelas com quase todas as hash possiveis de sha1, logo se eu sou cliente deles sei confirmar se a hash esta certa, pois sei a minha password, mas não sei o salt, teria de gerar outras n (milhões?) tabelas para cada permutação de hash…
        ya não vai ser recuperada…

        Responder
    2. Avatar de Pedro Pinto
      Pedro Pinto

      Hoje já não deve haver (grandes) serviços que guardam password em “plain text”. Depois de teres usernames e a hash da password…

      Responder
      1. Avatar de rjSampaio
        rjSampaio

        em plain espero que não, mas nem é preciso tanto até o linkdin usava SHA1 sem salt, basicamente se largares a hash no google, directamente sem nenhum termo de pesquisa, automaticamente tens origem.
        Um bocado ridículo.

        Responder
  7. Avatar de gigbola
    gigbola

    Mudei a pass do dropbox a uns dias atrasando recebi o e-mail deles, agora descobri nesse site que tbm fui pnewd no LinkedIn!!!

    Responder
    1. Avatar de Anocas
      Anocas

      Não acredites em tudo o que vês online.
      O teu email foi identificado, mas não significa que estejas em perigo.

      Responder
  8. Avatar de Modem
    Modem

    Pelo que li noutro site, do DropBox foram boubados os endereços de email de login, que juntando com os dados de login que foram roubados em 2012 do LinkedIn permitem em muitos casos entrar no DropBox porque os utilizadores usaram os mesmos dados de login nos dois sites.

    Responder
  9. Avatar de Hugo Cunha
    Hugo Cunha

    “…pode desde já saber se a sua conta está entre as 68 que foram…”

    Falta ali a palavra “milhões” depois dois 68…

    Eu também fui galardoado por este saque mas penso que o pior de toda está situação foi a maneira como a Dropbox ligou com a situação. Agiu na forma de e-mail a sugerir a alteração da password e esperando que o caso não fosse parar às notícias.

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      editaram e tiraram “passwords” por isso o erro.
      Não é preciso alarme porque as contas não estao em perigo, nao foram roubadas passwords e os dados que foram roubados não permitem nenhum acesso a conta.

      Responder
  10. Avatar de João Reis
    João Reis

    Em todos os serviços Cloud/Facebook/eMail etc….
    Usem 2nd Step Verification
    Autenticação em Dois Passos.

    As senhas atuais deixaram de ser seguras, o que existe é uma forma segura de controlar quando usam a nossa senha.
    As senhas acabam roubadas e colocadas em listas PWNED para BruteForce, ou seja, por muito rara que seja a senha pode já estar numa lista. Estando em lista não adianta que seja uma senha complexa ou nao, ela esta la e vai ser testada mais tarde ou mais cedo.

    Nada é 100% mas usem a verificação por SMS no telemovel, pelo menos esta. Quando forem a tentar entrar na vossa conta, recebem um email a avisar e uma SMS, se nao forem voces a entrar, entao é algum chinoca ou russo a tentar 😀 nao vai conseguir

    Responder
  11. Avatar de Pedro Canilho
    Pedro Canilho

    A internet é um mundo estranho…

    Ora digam-me lá uma coisa… um dos problemas de segurança é o facto dos hackers descobrirem o email ou nome de utilizador com o qual temos conta no dropbox, certo? Ora, quem me garante que ao fazer a pesquisa nesse site que indicam na noticia, não estou a facultar o meu email a pessoas mal intencionadas? É que se por acaso o meu email não tinha sido descoberto, passaria agora a haver uma maior probabilidade de o ser visto que o introduziria em mais um local, logo mais uma base de dados para ser hackeada…

    Não sei porquê mas não confio nada nestes sites, nem nestas coisas de “ah põe aqui o teu email para ver se foste hackeado” ou aquelas tretas de ha uns anos de “ah põe aqui o teu email de msn para ver quem dos teus amigos de bloqueou”… tipo a meu ver, corrijam-me se estiver enganado, ao introduzir o meu email nesses sites, estou a aumentar a probabilidade de alguém o encontrar visto que o estou a introduzir em mais locais que não o site do serviço em si…

    Enfim… pode ser uma parvoíce pensar assim mas mete-me alguma confusão…

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      e tens toda a razão, é uma questão de confiança, o mesmo de dar o teu numero de cartao de credito a um site, se for pequenino nunca na vida, mas na amazon ja das e nem é preciso o codigo
      Das duas uma ou é uma falcatrua muito bem planeada, ou é seguro, esse site já existe a muitos anos.

      Por outro lado, é so o email, se mantiveres uma boa politica de passwords (diferente para cada site) não tens de te preocupar.

      Assume se que todos têm um email mais professional (sem contar com os “putos”) e a partida todos têm esses serviços associados, Dropbox, google, pinterest, facebook, linkdin, etc etc. não estas a facultar grande coisa, no máximo recebes spam.

      Responder
      1. Avatar de João Reis
        João Reis

        Esquece política de senhas diferentes.
        O problema tem de ser entendido e não achar que a nossa senha é espetacular.
        O leak das senhas parte do site onde elas estão a ser utilizadas. Portanto a sua senha já era é o que deve pensar como garantido. A única forma de protecção é colocar a autenticação em dois passos. Também não é perfeita mas a sua senha deixa de ser problema pois só com ela não fazem nada.

        Responder
  12. Avatar de Ze
    Ze

    Conversa antiga.. Sem qualquer dificuldade e apenas usando browser e um motor de busca há anos q Milhoes de contas do Dropbox sao acedidas.

    Responder
  13. Avatar de Eunito
    Eunito

    Então é quem usa dupla autenticação com telemovel?
    O meu e-mail estava na lista mas a dupla autenticação não deveria deixar um utilizador descansado???

    Responder
    1. Avatar de rjSampaio
      rjSampaio

      e estas, mesmo que não tenhas a dupla autentificarão, apenas sabem que o teu email têm uma conta dropbox.

      Responder
    2. Avatar de João Reis
      João Reis

      Sim e estás seguro.
      As senhas são descobertas pelos hackers e entregues/vendidas para serem acrescentadas a base de dados vulgo dicionários para ataques.
      O que se deve entender aos olhos da atualidade da Internet: As senhas não servem como segurança por si só. Elas são conhecidas a partida ou seja não são mas podem já existir em listas de bruteforce/ataques.
      Devem sempre usar dois modos de autenticação.
      Em alguma vez por muito fiável que seja o site, Ebay amazon etc devem usar o número verdadeiro do vosso cartão de crédito.
      Usem MBNET criem números de cartão virtuais com o plafond determinado ao gasto que vão fazer.
      Qualquer site é vulnerável. O Facebook tambem. Usem dois factores com o Telemovel. Eu sei que estão a dar o vosso número mas não há mundo perfeito. Segurança e privacidade não existem ao mesmo tempo. Temos de conceder. Até podem usar números recarregáveis só ligam para estas coisas.

      Responder
  14. Avatar de Alcv
    Alcv

    Tinha uma conta no dropbox desde há algum tempo. Continha ficheiros relacionados com o trabalho, mas nada confidencial. Após a mensagem da dropbox alterei a pass mas o conteúdo desapareceu. Não sei se aconteceu com mais alguém, mas para mim guardar mais alguma coisa na cloud, não obrigado

    Responder
  15. Avatar de MJSantos
    MJSantos

    Pelo que me parece, a info fornecida por este site em si não é totalmente de confiança, pois indica problemas com uma conta minha num serviço que nunca utilizei.

    Responder
    1. Avatar de Alves
      Alves

      Exatamente!
      Este site é uma treta… Inventei um mail, na hora, “eueueu@gmail.com” e deu logo 5 ataques:
      Adobe, heroes of Newhert, lifeboat, Neopets e Quantum stresser!
      Experimentei com mails meus sem contas Dropbox associadas e deu ataque à Dropbox!

      Responder
      1. Avatar de João Reis
        João Reis

        ele valida noutros ataques anteriores e em BDs conhecidas, os emails que testaste existem nessas BDs, qual ataque elas foram sacadas nao interessa, interessa é que existe o conhecimento que o teu email pode receber SPAM pois é ativo e valido.
        Hehehe
        Entendes?

        Responder
      2. Avatar de rjSampaio
        rjSampaio

        esse email existe, não foste tu que o criaste…

        Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.