In questi giorni numerosi utenti di Dropbox hanno ricevuto una email che li invitava a modificare la password di accesso al loro account.
Il suggerimento sembra legato alla pubblicazione di una lunga lista di nomi utente e hash delle password di circa 70 milioni di iscritti al servizio di storage online.
Dropbox si è affrettata a chiarire che il servizio è assolutamente sicuro e che i dati di autenticazione (la password non è in chiaro quindi non è utilizzabile da parte di terzi per effettuare il login) si riferiscono a un incidente avvenuto nel 2012.
In quell’occasione furono sottratti dai server di Dropbox alcuni dati che però non hanno portato ad alcun genere di attacco nei confronti dei singoli utenti del servizio.
I nomi utente e le password oggi venute alla luce, come detto, non possono essere infatti utilizzati. Circa 32 milioni di password sono infatti protette con l’algoritmo di hashing bcrypt mentre le restanti utilizzano il più vecchio SHA-1. In entrambi i casi, poi, Dropbox ha utilizzato un salt ossia una sequenza casuale di bit che – utilizzata assieme alla password come input della funzione hash (funzione unidirezionale) – ha permesso di rafforzare l’efficacia della procedura.
Dropbox ha quindi chiesto, in via meramente precauzionale, la modifica della password di accesso solo agli utenti iscrittisi prima del luglio 2012 che da allora non hanno mai cambiato le credenziali.
Il servizio di storage online ha comunque voluto gettare acqua sul fuoco spiegando che gli utenti non hanno mai rischiato accessi non autorizzati da parte di malintenzionati o comunque soggetti terzi.