Las noticias y la suspicacia han hecho que se dé la voz de alarma, de manera prematura tal vez, alertando de una posible brecha en Dropbox. La razón de este alboroto, al margen de las notificaciones recibidas por los usuarios, ha sido la publicación de los detalles de más de 60 millones de cuentas en ciertas páginas.
La causa probable es que los detalles de esas cuentas son el resultado de un filtrado del incidente ocurrido a mediados de 2012 y del que trascendieron pocos detalles.
De manera oficial, según el blog de Dropbox, la versión de lo ocurrido entonces se basa en tres hechos:
- Algunos usuarios de Dropbox notificaron a la empresa que estaban recibiendo spam en cuentas de correo que usaban exclusivamente para operar con Dropbox.
- Que de una investigación interna, Dropbox, encontró que en un “número reducido” de cuentas se había producido un inicio de sesión y que las credenciales usadas habrían sido “robadas de otros sitios web” y reutilizadas para abrir sesiones en Dropbox.
- Admitieron que las credenciales de un empleado de Dropbox habían sido comprometidas y usadas. En dicha cuenta los atacantes pudieron obtener un documento de un proyecto que contenía cuentas de correo de usuarios de Dropbox.
A la luz del gran número de cuentas (recordemos, más de 60 millones) y de las explicaciones recibidas entonces hay detalles que como poco resultan curiosos de contrastar.
El más notable sin duda es que 60 millones de cuentas no es un número reducido, incluso para un servicio que pueda tener varios órdenes más de usuarios. Otro detalle llamativo es que no solo es información de la cuenta, correo electrónico, etc. Los archivos contienen hashes, incluso pueden derivarse dos tipos de hashes, los producidos por bcrypt y SHA-1, lo que hace pensar que hubo un cambio en la forma en que almacenaban los hashes anterior a la extracción.
Admitir que Dropbox ha sido hackeada no es posible, pero que la filtración fue muchísimo más grave que la admitida entonces es evidente.
Fuente: Hispasec