Michal Marek Son birkaç saatte internette ortaya çıkan raporlara göre, 7 milyona yakın kullanıcının giriş bilgilerini toplayan Dropbox veri tabanı, hacker saldırısının kurbanı oldu. Ancak aynı isimli bulut depolamanın arkasında yer alan Dropbox'ın temsilcileri böyle bir saldırıyı yalanladı. Dropbox kullanıcılarının giriş bilgilerine de erişimi olan üçüncü taraf hizmetlerden birinin veritabanının saldırıya uğradığını iddia ediyorlar. Tabii ki, Dropbox entegrasyonu sunan yüzlerce uygulama olduğundan, örneğin senkronizasyon hizmetleri gibi bu tür birçok hizmet var.
Kendi açıklamasına göre Dropbox, bilgisayar korsanlarının saldırısına uğramadı. Ne yazık ki kullanıcı adları ve şifrelerin diğer hizmetlerin veritabanlarından çalındığı ve daha sonra diğer kişilerin Dropbox hesaplarına giriş yapmak için kullanıldığı iddia edildi. Dropbox'ın bu saldırıları daha önce de gördüğü ve şirketin teknisyenlerinin yetkisiz olarak kullanılan şifrelerin büyük çoğunluğunu geçersiz kıldığı bildirildi. Diğer tüm şifreler de geçersiz kılındı.
Dropbox daha sonra blogunda konuyla ilgili şu yorumu yaptı:
Dropbox, sızdırılan kimlik bilgilerinin kötüye kullanılmamasını sağlamak için adımlar attı ve sızdırılmış olabilecek tüm şifreleri (ve her ihtimale karşı muhtemelen çok daha fazlasını) geçersiz kıldı. Saldırganlar, çalınan veritabanının tamamını henüz yayınlamadı, yalnızca veritabanının "B" harfiyle başlayan e-posta adreslerini içeren kısmının bir örneğini yayınladı. Bilgisayar korsanları artık Bitcoin bağışı istiyor ve daha fazla mali bağış aldıklarında veritabanının daha fazla bölümünü yayınlayacaklarını söylüyor.
Bu nedenle henüz yapmadıysanız Dropbox'ınıza giriş yapıp şifrenizi değiştirmelisiniz. Ayrıca, Dropbox web sitesindeki güvenlik bölümünde hesabınızla ilişkili oturum açma bilgilerinin ve uygulama etkinliklerinin listesini görüntülemek ve muhtemelen tanımadığınız uygulamalardaki yetkilendirmeyi kaldırmak da akıllıca olacaktır. Dropbox hesabınıza bağlı yetkili uygulamaların hiçbiri, şifrenizi değiştirmeniz durumunda oturumunuzu otomatik olarak kapatmaz.
Dropbox'ın yaptığı gibi, böyle bir özelliği destekleyen herhangi bir hesapta çifte güvenliğin etkinleştirilmesi önemle tavsiye edilir. Bu güvenlik özelliği Dropbox.com'un güvenlik bölümünden de açılabilir. Dropbox şifrenizi başka bir yerde kullanıyorsanız, şifrenizi hemen orada da değiştirmelisiniz.
Peki hangi üçüncü taraf olduğunu yayınlamak mümkün değil mi? İnsanlara en çok bunun faydası olacağını düşünüyorum.
3. partinin isminin henüz bilindiğini düşünmüyorum
Muhtemelen tek değil…
Ne olduğunu açıklamayan, kafa karıştırıcı bir makale.
Dropbox ile hiçbir ilgisi olmayan bir isim ve şifre veri tabanı elde eden biri, bu kimlik bilgilerini o hizmet için de denedi. (Birden fazla sunucuda aynı isim ve şifreye sahip kişilerden faydalanılmaya çalışıldı)