Dropbox ha reso noto che la settimana scorsa uno degli account di un proprio impiegato è stato compromesso, portando alla circolazione di molto materiale di spam che ha fortemente irritato la direzione del popolare servizio di storing on the cloud.
La password rubata, usata per ottenere l’accesso all’account dell’impiegato, ha permesso ad occhi non autorizzati di acceder ad un così definito “documento di progetto che contiene diversi indirizzi email.” Ne ha dato notizia un ingegnere Dropbox attraverso le pagine del blog ufficiale.
“Crediamo che l’accesso non autorizzato sia stata la causa dello spam che si è verificato all’interno del network. Ci scusiamo per l’inconveniente, e diamo notizia di avere dispiegato ulteriori controlli per essere certi che questa situazione non si verifichi più.” La compagnia ha anche trovato che l‘username e la password rubati sono stai utilizzati per accedere ad un “piccolo numero di account Dropbox.” Gli hacker comunemente provano combinazioni di username e password per cercare di fare breccia negli account creati su diversi portali web sperando che le persone usino sempre lo stesso login in più occasioni.
Lo spam circolato, scritto in tedesco, inglese ed olandese, pubblicizza siti di scommesse e sembra sia dedicato agli utenti europei. Molti degli utenti che hanno riportato il disservizio presso il forum di browser affermano di usare un indirizzo email esclusivamente dedicato a Dropbox, da cui la convinzione che fosse stato proprio il servizio web ad essere stato hackerato, come è poi effettivamente risultato vero. Dropbox ha chiesto la consulenza di un team esterno per investigare sulla pecca della sicurezza, ma sino alla settimana scorsa non sono state trovate prove che sia avvenuta una intrusione nel sistema interno o negli accounts compromessi.
A seguito della falla, Dropbox ha reso noto di volere introdurre nel giro di poche settimane due fattori per l’autenticazione, ovvero un sistema che sia in grado di spedire all’utente un codice temporaneo al telefono della persona. Altri miglioramenti alla gestione della sicurezza includono una nuova pagina che mostrerà i log con gli accessi effettuati dagli utenti ed altri “meccanismi automatici che aiuteranno ad identificare le attività sospette,” rende sempre noto il portavoce Dropbox. Gli utenti saranno anche invitati a cambiare passowrd nel caso in cui questa azione non avvenga da molto tempo.
