miércoles, octubre 15, 2014

La extraña filtración de las 400 cuentas de Dropbox

Hoy la noticia es Poodle, la nueva vulnerabilidad en SSL localizada en sslv3 que permite, usando un padding, descifrar una sesión SSL con un JavaScript inyectado en cliente, pero yo quería hablaros del supuesto hackeo de las cuentas de Dropbox, ya que tiene tintes de ser una historia en la que los media se han dejado llevar por la emoción y las cosas se han ido de madre.

Figura 1: ¿400 o 7 Millones de identidades de Dropbox?

Cronología del Buzz

Ayer por la mañana leí muy temprano la primera noticia sobre la filtración de Cientos de cuentas de Dropbox, pero ya había decido que en mi artículo diario iba a hablar de Reflected File Download, así que lo marqué en mi RSS para leer más tarde. 

Pasaron unas horas en las que estuve trabajando en otras cosas y me olvidé un poco del asunto. En medio de una reunión en Eleven Paths un compañero me dijo... "¿Has visto lo de las identidades de Dropbox?". "Sí, han filtrado unos cientos de ellas, parece que ha sido como lo de Snapchat por una app de terceros", contesté. "No, no, dicen que se han filtrado 7 millones." 

Figura 2: Titulares sobre la filtración

En ese momento flipé, miré noticias en Internet y es verdad la mayoría de los medios hablaban en sus titulares de casi 7 Millones de identidades filtradas.

Buscando la fuente

Con más calma, por la noche, me dediqué a buscar por Internet la fuente de la filtración, y resulta que es un pastebin en el que hay 400 identidades de Dropbox con usuarios y contraseñas. Eso sí, la nota dice que tiene casi 7 Millones de cuentas en su poder y que según reciba pagos en BitCoins irá liberando más, para lo que deja su cuenta. Cuando más dinero gane más filtrará, dice.

Figura 3: El pastebin con las identidades de Dropbox

Ese volumen de identidades filtradas hubiera sido la segunda filtración más grande en Have I been Pwned?, donde solo la filtración de Adobe supera esa cantidad de cuentas. A día de hoy no se han filtrado, por supuesto, así que asumo que no ha cobrado lo suficiente por ahora.

Dropbox dice

El equipo de Dropbox, supongo que sobrepasado por el buzz ha confirmado que no ha sido hackeado en un post en su blog que puedes leer.

Figura 4: El post de Dropbox contestando a la supuesta filtración

Lo más curioso es que, en una actualización, ellos mismos confirman que las cuentas filtradas no funcionan porque estaban expiradas, así que parece que es una situación similar a las de las cuentas de Gmail, que podrían haber sido robadas con malware o con una app maliciosa.

Figura 5: Actualización confirmando que las nuevas filtraciones eran falss

Aún así, apareció por Internet una nueva remesa de cuentas de Dropbox, pero parece que eran un autentico fake, tal y como ponen en su post.

Pon un segundo factor de autenticación en Dropbox

El mensaje al final de toda esta historia es, además de ten cuidado con leer solo los titulares, que no debes preocuparte por esta filtración, sino por todas tus identidades. Pon un segundo factor de autenticación a todas las que puedas, tal y como dice también el post de Dropbox.

Figura 6: Cómo poner un 2FA en Dropbox

Google Authenticator, Verificación en 2 Pasos en Apple, Latch en todas las cuentas que puedas y en el caso de DropBox hay un segundo factor basado en SMS y en la app de de Dropbox para el móvil. No funciones de susto en susto, gestiona tu identidad online de forma segura y evita los sobresaltos.

Saludos Malignos!

6 comentarios:

Anónimo dijo...

Esta bien, aportando un poco de tranquilidad y cordura
Saludos Chema!

Anónimo dijo...

claro, mjor publicar un post de algo que ya no es noticia pero sirve para vender Latch que algo que afecta al 90ypico de servidores de la internet.

Chema Alonso dijo...

@Anónimo, no seas tiñoso hombre, que publico cosas que no tienen que ver con Latch }:)

Relájate y disfruta que tenemos nuevas apps de Latch y prueba las nuevas características.

Saludos!

Anónimo dijo...

Ya lo dijo San Pedro:
Todos los caminos conducen a Latch.

Chema Alonso dijo...

@Anónimo, amén.

Anónimo dijo...

Pues que se escriba por algo q no es un robo sino una precaución para no lamentarse a posteriori...es de agradecer.
Que latch haga eso, es valor añadido.

gracias

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares