Inizialmente erano 400, ma i leaker hanno annunciato che più bitcoin avrebbero ricevuto in donazioni, più password avrebbero pubblicato: è l’inquietante compromesso comparso questa mattina su un Pastebin, in un post contenente – oltre che questa pericolosa richiesta – le oltre 400 combinazioni email/password di altrettanti account Dropbox.
Una sorta di teaser che ha voluto preannunciare un leak ancora più grande:
Ecco un altra serie di account Dropbox violati estrapolato dall’enorme hack di 7 milioni di account. Per vederne molte in più, basterà cercare su Pastebin il termine [censurato]. Ne arriveranno altre, continuate a supportarci.
In pratica gli hacker lasciano intendere che si sarebbe verificata un attacco a Dropbox, il quale avrebbe provocato la fuga di 7 milioni di combinazioni nome utente/password in chiaro e che, con il procedere delle donazioni, tali dati potrebbero essere pubblicati interamente online.
Nonostante alcuni utenti su Reddit abbiano confermato il funzionamento di alcune di queste combinazioni, Dropbox è intervenuta rassicurando gli utenti: le password non provengono dai server, che non sono stati violati, ma sarebbero state rubate da altri servizi di terze parti; inoltre, gli account trapelati sarebbero già stati messi in sicurezza:
Dropbox non è stato violato. Quegli username e quelle password sono state sfortunatamente rubate da altri servizi e usate in tentativi di accesso ad account Dropbox. Abbiamo già rilevato questi attacchi e la gran maggioranza delle password postate sono già scadute da tempo. Tutte le altre sono state contrassegnate come “scadute”.
La colpa, quindi, sarebbe degli utenti che sfortunatamente utilizzano le stesse credenziali su molti servizi web: violato uno, violati tutti.
Dropbox, inoltre, aggiunge che le password sono state ripristinate già mesi fa, quando fu rilevata attività sospetta. Per precauzione vi consigliamo fortemente di modificare all’istante la vostra password e di abilitare l’autenticazione in due fattori, come spiegato in questa pagina.
