В середине июля этого года, сервис Dropbox признал факт утечки данных своих пользователей. Владельцы аккаунтов Dropbox начали жаловаться о получении писем на связанные почтовые адреса с рекламой казино и сайтов азартных игр. По состоянию на 17 июля около 295 пользователей пожаловались на спам. Наибольшая часть жалоб поступила из Германии, Нидерландов и Великобритании. Для выяснения причин инцидента была создана комиссия из независимых исследователей, которым была поставлена задача обнаружить источник утечки. В результате проведенного анализа, разработчики Dropbox подтвердили утечку данных. "По итогам проверки мы выявили факт кражи логинов и паролей со сторонних сайтов, с помощью которых небольшое количество пользователей Dropbox получает доступ к своим аккаунтам, - содержится в сообщении Dropbox. - Мы связались с этими пользователями и помогли им защитить свои учетные записи. Один из похищенных паролей был использован для доступа к аккаунту Dropbox, в котором хранился документ с почтовыми адресами пользователей. Мы полагаем, что именно это привело к появлению спама". То, что утечка данных Dropbox была связана с недавней утечкой реквизитов доступа LinkedIn, наблюдатели предполагали давно. Так оно и оказалось, только в руках злоумышленников оказались логин и пароль от администраторского аккаунта Dropbox. Но, интересен тот факт, что список адресов электронной почты пользователей Dropbox был сохранен и подготовлен для передачи для каких-то служебных целей. Чем могли являться эти цели загадкой. Dropbox известен своей антипиратской кампанией, поэтому передача адресов электронной почты могла стать результатом сотрудничества сервиса с правоохранительными органами. Другой вариант предполагает продажу списка электронных адресов рекламным агентствам. В Dropbox принесли извинения и сообщили о введении дополнительного уровня защиты. Были добавлены новые автоматические алгоритмы, помогающие выявить подозрительную активность, и новая страница, позволяющая проверить параметры доступа к аккаунту. Кроме того, в ближайшем будущем появится двухфакторная аутентификация - когда пользователю нужно будет подтверждать свою личность не только паролем, но и дополнительными данными, например, проверочным кодом, который будет отправляться на телефон. Двухуровневая авторизация выглядит достаточно заманчиво, учитывая тот факт, что скомпрометированный список адресов электронной почты был подготовлен по запросу правоохранительных органов. Учитывая новые функции, этот список может быть дополнен номера телефонов, что во много раз упростит идентификацию личности потенциальных пиратов.
Источник