Dropbox di-Hack, 68 Juta Pengguna Berisiko

dropbox-project-infinite-brings-cloud-files-to-the_qwgv.640

Perusahaan penyimpanan awan populer, Dropbox telah di-hack sehingga menyebabkan sebanyak 68 juta lebih alamat email lebih dan password pengguna  bocor ke internet. Serangan hack tersebut sebenarnya terjadi pada tahun 2012. Pada saat itu, Dropbox melaporkan alamat email pengguna telah dicuri, namun tidak melaporkan bahwa password juga telah dicuri. Dump password terungkap ketika database diambil oleh layanan pemberitahuan keamanan Leakbase yang kemudian dikirim ke Motherboard.

Peneliti keamanan independen dan operator Have I been pwned? Troy Hunt, memverifikasi temuan data tersebut ketika ia menemukan rincian akunnya dan istrinya. Hunt mengatakan bahwa tidak ada keraguan sama sekali bahwa pelanggaran data tersebut berisi password Dropbox yang sah. Artinya data yang bocor ke internet tersebut benar-benar data asli pengguna Dropbox.

Seminggu yang lalu, Dropbox mengirimkan pemberitahuan kepada semua pengguna yang tidak mengubah password mereka sejak tahun 2012. Dropbox memiliki sekitar 100 juta pengguna pada saat terjadi serangan, yang berarti dump data tersebut mewakili lebih dari dua pertiga akun penggunanya. Pada saat itu Dropbox melakukan praktik keamanan data pengguna yang baik, melakukan enkripsi password dan telah dalam proses upgrade enkripsi dari standar SHA1 ke standar yang lebih aman yang disebut bcrypt. Namun pada saat serangan, setengah dari password pengguna masih dienkripsi dengan SHA1.

Serangan sepertinya berasal dari hasil penggunaan kembali password oleh karyawan Dropbox yang sebelumnya digunakan di LinkedIn, jaringan sosial profesional yang mengalami serangan yang mempublikasikan password dan memungkinkan hacker untuk masuk ke jaringan Dropbox. Dari sana hacker memperoleh akses ke database pengguna dengan password yang dienkripsi. Pada saat itu, Dropbox mereset ulang sejumlah password pengguna, tetapi belum mengatakan secara tepat seberapa banyak.

Serangan terhadap Dropbox tersebut menggarisbawahi perlunya keamanan yang ketat, baik di pengguna akhir maupun penggunaan password yang kuat, otentikasi dua langkah serta tidak menggunakan kembali password yang sebelumnya telah dipakai.

Sumber: The Guardian

Sumber Foto: PCMag