Dropbox diz-se vítima de roubo de password

A empresa disse planear introduzir novas medidas de protecção para evitar as violações de contas de empregados, depois de os seus clientes terem sido vítimas de spam.

A Dropbox considerou que o roubo de uma password de acesso ao email de um empregado esteve na origem de um surto de spam entre as contas dos seus clientes (em Julho). A conta do colaborador continha “um documento de projecto com os endereços de e-mail dos utilizadores”, disse Aditya Agarwal, engenheiro da Dropbox.
“Acreditamos que este acesso indevido resultou no surto de spam”, escreveu Agarwal. “Lamentamos o que aconteceu e colocámos controlos adicionais para garantir que não aconteça novamente”. A empresa também descobriu nomes de utilizadores e passwords roubadas de outros sites usadas para aceder “a um pequeno número de contas da Dropbox”, escreveu Agarwal.
Vulgarmente, os hackers tentam combinações de utilizadores e passwords de fugas de informação derivadas de vulnerabilidades exploradas noutros serviços de Internet. Têm a expectativa de que as pessoas usem a mesma combinação, um problema de segurança comum.
O spam, escrito em alemão, inglês e holandês, referia-se a sites de apostas e parece afectar apenas os utilizadores europeus. Muitos destes escreveram no fórum da companhia que tinham usado um endereço de e-mail exclusivamente para o Dropbox, levando a suspeitas de que a segurança da empresa tenha sido violada.
A Dropbox contratou uma equipa de segurança externa para investigar o caso. Contudo, a 21 de Julho considerava ainda não ter sido vítima de qualquer intrusão dos seus sistemas internos ou contas. Face à violação de segurança, a Dropbox anunciou planear daqui a poucas semanas introduzir sistemas de autenticação com dois factores, como por exemplo, envolvendo o envio de um código temporário para o telemóvel de uma pessoa.
Outras medidas deverão incluir a apresentação de uma nova página irá mostrar como o registo da actividade do utilizador. Além disso, haverá também “mecanismos automatizados para ajudar a identificar actividades suspeitas”, escreveu Agarwal.
Os utilizadores receberam sugestões para mudarem de password se não o tiverem feito durante muito tempo.




Deixe um comentário

O seu email não será publicado