Meer dan 60 miljoen wachtwoorden buitgemaakt bij eerdere hack Dropbox

De grote digitale inbraak bij de populaire cloudopslagdienst Dropbox in 2012 blijkt veel groter dan gedacht. De hackers hebben niet alleen de e-mailadressen, maar ook de wachtwoorden van meer dan 60 miljoen gebruikers buitgemaakt en op internet gezet.

Beeld anp

Dit concludeert technologiesite Motherboard na een analyse van vier bestanden waarin de accountgegevens van in totaal 68.680.741 gebruikers staan vermeld. Een anonieme medewerker van Dropbox heeft de authenticiteit van de bestanden volgens Motherboard bevestigd.

Dropbox had aanvankelijk bekendgemaakt dat er alleen e-mailadressen van een beperkt aantal gebruikers zouden zijn gestolen. Maar uit de documenten blijkt dat het aantal getroffen accounts veel groter is dan eerder gedacht, en dat van het overgrote deel van deze gebruikers ook wachtwoorden zijn buitgemaakt. De meeste wachtwoorden zijn overigens wel versleuteld opgeslagen, zodat de hackers ze niet meteen kunnen gebruiken.

Notificaties

Eerder deze week begon Dropbox met het versturen van notificaties naar alle gebruikers die sinds 2012 hun wachtwoord niet meer hebben aangepast. Zij moeten de eerstvolgende keer dat ze van de dienst gebruikmaken een nieuw wachtwoord kiezen. Dropbox zegt dat het hier een voorzorgsmaatregel betreft en dat het bedrijf geen aanwijzingen heeft dat er illegaal is ingelogd op accounts.

Ten tijde van de digitale inbraak in 2012 was Dropbox druk doende om de versleutelingsmethode die werd gebruikt voor het bewaren van de wachtwoorden van gebruikers te vernieuwen. Pakweg de helft van de wachtwoorden werd op het moment van de hack nog op de oude manier versleuteld.

Beeld anp

Tweestapsverificatie

Internetbeveiligingsexpert Troy Hunt zegt tegenover The Guardian dat hij desondanks verwacht dat verreweg de meeste wachtwoorden niet gekraakt zullen worden. 'Zelfs nu het lek publiek bekend is, zullen alleen de allerslechtst gekozen wachtwoorden mogelijk onveilig zijn. Toch raad ik iedereen die ook maar een beetje twijfelt aan om een nieuw wachtwoord te kiezen en om de tweestapsverificatie van Dropbox in te schakelen.' Bij die verificatiemethode moeten gebruikers naast hun wachtwoord ook een beveiligingscode van zes cijfers of een beveiligingssleutel invoeren om in te loggen.

De digitale inbraak van 2012 werd vermoedelijk veroorzaakt doordat een medewerker van Dropbox een wachtwoord had gebruikt dat hij ook voor LinkedIn gebruikte. Die zakelijke socialenetwerksite werd eerder getroffen door hackers. De cybercriminelen maakten gebruik van dat lek om het wachtwoord te achterhalen waarmee ze uiteindelijk bij de gebruikersdatabase van Dropbox konden komen. De wachtwoorden in die database waren overigens niet alleen versleuteld, maar ook 'gesalt', wat inhoudt dat er tijdens het versleutelen een willekeurige reeks karakters wordt toegevoegd om het kraken van het wachtwoord nog moeilijker te maken.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 de Persgroep Nederland B.V. - alle rechten voorbehouden