Vídeo: GOOGLE DRIVE e DROPBOX são SEGUROS e PRIVADOS? - DR#56 (Outubro 2024)
Se você usar o Dropbox para armazenar seus arquivos, considere esta postagem um lembrete de que você deve usar a autenticação de dois fatores para o serviço em nuvem.
Um indivíduo desconhecido postou centenas de nomes de usuário e senhas pertencentes a contas do Dropbox no site de compartilhamento de texto Pastebin na segunda-feira. O usuário do Pastebin disse que a amostra é uma fração minúscula de uma lista composta por até 7 milhões de contas do Dropbox comprometidas.
"Continuaremos divulgando mais para o público à medida que as doações chegarem, mostre seu apoio", disse o comunicado da Pastebin que acompanha o despejo de senhas.
Dropbox não invadido
Caso você esteja preocupado com o fato de seus arquivos e fotos terem sido roubados, o Dropbox disse que não há nada com que se preocupar.
"Suas coisas estão seguras", escreveu Anton Mityagin, membro da equipe de segurança do Dropbox, em um post no blog afirmando que o Dropbox não havia sido invadido. "Os nomes de usuário e senhas mencionados nesses artigos foram roubados de serviços não relacionados, não do Dropbox."
O serviço de nuvem alega que os invasores selecionaram combinações de nome de usuário e senha de outros serviços violados e, em seguida, tentaram fazer login em vários sites da Internet, incluindo o Dropbox. Como a reutilização de senha é galopante, apesar dos avisos repetidos, os atacantes conseguiram compilar uma lista de credenciais da conta.
Mesmo que o Dropbox em si não tenha sido violado, meus arquivos não correm risco desde que as credenciais da minha conta foram expostas? O Dropbox alegou que não era esse o caso, pois monitora regularmente todas as contas para rastrear esse tipo de atividade suspeita de login. O Dropbox também afirmou que verificou as listas postadas no Pastebin e confirmou que não estão associadas às contas de usuário.
"Temos medidas para detectar atividades suspeitas de login e redefinimos automaticamente as senhas quando isso acontece", escreveu Mityagin.
Reutilização de senha incorreta
Se sua conta é uma das identificadas pelos invasores, o Dropbox provavelmente alterou suas senhas. Então, primeiro de tudo, pare de reutilizar suas senhas nos serviços. Não use a mesma senha, mesmo que você ache que as contas não contêm informações confidenciais e não são importantes.
Infelizmente, apesar das violações recentes que expõem as senhas dos usuários, as pessoas não parecem estar entendendo. Troy Hunt, pesquisador de segurança do HaveIBeenPwned.com, disse ao SecurityWatch no mês passado que esperava algumas sobreposições entre listas de senhas de diferentes violações de dados. O banco de dados do HaveIBeenPwned contém listas de senhas de mais de 30 sites e permite que os usuários verifiquem se suas contas estão entre as que foram expostas.
"Nós apenas não mudamos os hábitos de senha o suficiente" para não haver sobreposições nas violações de dados, disse Hunt.
Dois fatores agora
Mesmo se você não tiver reutilizado senhas, sua conta ainda estará vulnerável a ataques de força bruta, especialmente se a senha for fraca. Também vale a pena notar que mesmo senhas fortes e complexas podem ser forçadas a brute, especialmente se o invasor tiver recursos, tempo e motivação computacionais suficientes. É por isso que você deve ativar a verificação em duas etapas em qualquer serviço que a ofereça. Felizmente para nós, o Dropbox é um desses serviços e é bastante fácil configurá-lo.
"Ataques como esse são um dos motivos pelos quais incentivamos fortemente os usuários a não reutilizarem senhas entre os serviços. Para uma camada adicional de segurança, sempre recomendamos ativar a verificação em duas etapas em sua conta", escreveu Mityagin.
A verificação em duas etapas combina senhas, ou "algo que você sabe", com um dispositivo móvel ou "algo que você tem", para impedir tentativas fraudulentas de login. Se você ativou dois fatores na sua conta do Dropbox, receberá um código de segurança de seis dígitos no seu celular ou terá um código gerado a partir do aplicativo Google Authenticator. "Dar dois passos em vez de apenas um cria uma barreira mais forte contra os atacantes", disse o Dropbox.
Recomendamos o uso de um gerenciador de senhas como o LastPass para facilitar a geração de senhas exclusivas que também são complexas. Mas, embora possam desacelerar os atacantes, eles não são infalíveis. A autenticação de dois fatores pode ser menos conveniente e lenta, mas vale a pena o esforço extra se impedir que os invasores invadam facilmente sua conta.
