De accountgegevens van meer dan 68 miljoen gebruikers van Dropbox zijn buitgemaakt bij een hack. Dat schrijft Motherboard, dat een deel van die gegevens in handen heeft. Vorige week verplichte Dropbox een groep gebruikers nog om hun wachtwoord te veranderen. Het bedrijf beweerde toen dat het een voorzorgsmaatregel was en dat het niet gehackt was. Tegen Numrush bevestigt Dropbox dat het aantal gestolen accounts ‘in de 60 miljoen range zit’. Het bedrijf wil verder geen details kwijt over de hack.
Het ging toen om accounts die sinds 2012 hun wachtwoord niet meer hadden gewijzigd. Hoeveel accounts werden verplicht om hun wachtwoord te veranderen, maakte het bedrijf niet bekend. Een medewerker van het bedrijf heeft tegen Motherboard gezegd dat de e-mailadressen en wachtwoorden die het in handen heeft legitiem zijn.
Of de hackers veel aan de gegevens zullen hebben blijft de vraag. De wachtwoorden zijn met verschillende algoritmes gehasht, waardoor ze onleesbaar zijn en niet gebruikt kunnen worden om in te loggen. De hack werd overigens in 2012 al bekendgemaakt, maar hoeveel accounts getroffen waren was niet bekend. Nu blijkt dus dat de accountgegevens van ruim 68 miljoen accounts waren buitgemaakt.
Wil je weten of jouw accountgegevens zijn buitgemaakt bij de hack? Vul het e-mailadres dat gekoppeld is aan je account in op de site Have I been pwned?. Op die site kun je van veel grote hacks en datalekken terugvinden of jouw gegevens erbij zaten. Als je verder actie moet ondernemen, dan heb je daar eerder al een melding van gehad en heeft Dropbox je verplicht je wachtwoord te wijzigen.
Update 14.25 uur:
Dropbox heeft gereageerd op het bericht.
Het klopt dat de e-mailadressen en beveiligde wachtwoorden zijn buitgemaakt. Het gaat hier inderdaad om gegevens van 2012. We hebben geen indicatie dat hackers toegang hebben gekregen tot de getroffen accounts. We hebben alle getroffen gebruikers de opdracht gegeven om hun wachtwoord te resetten. Het gaat om gebruikers die zich voor het midden van 2012 voor onze dienst hebben aangemeld en sindsdien hun wachtwoord niet meer veranderd hebben. Op die manier kunnen zij voorkomen dat een hacker toegang krijgt tot het account als de wachtwoorden worden gekraakt.
We raden gebruikers die hetzelfde wachtwoord voor meerdere diensten gebruiken aan om een sterk en uniek wachtwoord voor elke dienst te gebruiken en tweestapsverificatie in te schakelen. Gebruikers die een melding van ons hebben gehad moeten bovendien alert blijven op spammails en phishing.
Update 15.45 uur:
Dropbox heeft laten weten dat het aantal getroffen accounts ‘in de range van 60 miljoen’ zit. Daarmee lijkt het de berichtgeving van Motherboard te bevestigen.