Más de 68 millones de correos electrónicos de usuarios de Dropbox y sus contraseñas encriptadas han sido filtrados en foros de internet. La lista corresponde, según ha admitido la compañía, a una intrusión informática del año 2012 que ya fue notificada. La empresa de almacenamiento 'on line', muy popular en teléfonos móviles, ha pedido a sus usuarios que revisen las contraseñas y obligará a cambiar las claves si estas son anteriores al 2012.
Dropbox ha admitido que los datos filtrados ahora son fiables, según la web Motherboard, pero asegura que al menos 32 millones de esas contraseñas están cifradas con un algoritmo bcrypt que haría casi imposible que se pudieran descifrar. El resto, según la empresa, utiliza un protocolo más antiguo, el salt SHAH1, que reduce la encriptación a menos números. Las normas básicas de seguridad aconsejan separar las bases de datos que enciptan las contraseñas de las claves para desencriptarlas, algo que aquí ha funcionado.
Según Dropbox, no se han registrado por ahora intentos ilegítimos de acceder a las cuentas.
Los correos, sin embargo, podrían ser utilizados para un ataque de 'phishing' en el que un supuesto mensaje de la compañía pidiera las claves. La empresa ya envió el pasado día 26 de agosto un correo a sus clientes para advertirles de que si tenían una cuenta anterior al 2012 tendrían que resetear su contraseña cuando accedieran al servicio, pero no incluía ningún enlace.
Dropbox ya alertó a sus usuarios en el 2012 del fallo de seguridad y desde entonces asegura que ha ido implantando varias medidas de seguridad para ser más fiable.
La filtración de Dropbox es una de las más grandes registradas y es similar a la que sufrió Tumblr un año después. Ambas quedan lejos de los 359 millones de cuentas de MySpace en el 2008 o las 164 millones de cuentas de Linkedin antiguas detectadas el pasado mes de mayo, según la web HaveIbeenPrawned, que permite comprobar si la dirección de correo está comprometida.
