يقول Dropbox أنه لم يتم اختراقه ، ويحث المصادقة ثنائية

إذا كنت تستخدم Dropbox لتخزين ملفاتك ، فاعتبر هذا المنشور تذكيرًا بأنه يجب عليك استخدام مصادقة ثنائية لخدمة السحابية.

قام شخص غير معروف بنشر مئات من أسماء المستخدمين وكلمات المرور التي يُزعم أنها تنتمي إلى حسابات Dropbox على موقع مشاركة النص Pastebin يوم الاثنين. قال مستخدم Pastebin أن العينة كانت جزءًا صغيرًا جدًا من قائمة تتكون من 7 ملايين حساب Dropbox معرض للخطر.

وقال إعلان Pastebin المصاحب لتفريغ كلمة المرور: "سوف نستمر في إطلاق المزيد للجمهور مع تلقي التبرعات وإظهار دعمك".

دروببوإكس لا اختراق

في حالة قلقك من سرقة ملفاتك وصورك ، قال Dropbox إنه لا يوجد ما يدعو للقلق.

وكتب أنتون ميتيجين ، عضو فريق الأمن في دروببوإكس ، في منشور بالمدونة ، أكد على أن دروب بوكس ​​لم يتم اختراقه. "سُرقت أسماء المستخدمين وكلمات المرور المشار إليها في هذه المقالات من خدمات غير مرتبطة ، وليس من Dropbox."

تدعي الخدمة السحابية أن المهاجمين قاموا بإعداد مجموعات من اسم المستخدم وكلمة المرور من خدمات خرقت أخرى ، ثم حاولوا تسجيل الدخول إلى مواقع مختلفة عبر الإنترنت ، بما في ذلك Dropbox. نظرًا لأن إعادة استخدام كلمة المرور متفشية على الرغم من التحذيرات المتكررة بعدم القيام بذلك ، فقد تمكن المهاجمون من تجميع قائمة بأوراق اعتماد الحساب.

حتى لو لم يتم اختراق Dropbox نفسه ، ألا تتعرض ملفاتي للخطر بسبب تعرض بيانات اعتماد حسابي؟ ادعى Dropbox أن الأمر لم يكن كذلك لأنه يراقب بانتظام جميع الحسابات لتتبع هذا النوع من أنشطة تسجيل الدخول المشبوهة. ادعى Dropbox أيضًا أنه فحص القوائم المنشورة على Pastebin وأكد أنها غير مرتبطة بحسابات المستخدمين.

وكتب Mityagin: "لدينا إجراءات للكشف عن نشاط تسجيل الدخول المشبوه وإعادة ضبط كلمات المرور تلقائيًا عند حدوثها".

إعادة استخدام كلمة المرور سيئة

إذا كان حسابك أحد الحسابات التي حددها المهاجمون ، فمن المحتمل أن يكون Dropbox قد قام بتغيير كلمات المرور الخاصة بك. أولاً وقبل كل شيء ، توقف عن إعادة استخدام كلمات المرور الخاصة بك عبر الخدمات. لا تستخدم نفس كلمة المرور ، حتى لو كنت تعتقد أن الحسابات لا تحتوي على معلومات حساسة وليست مهمة.

لسوء الحظ ، على الرغم من الانتهاكات الأخيرة التي كشفت عن كلمات مرور المستخدمين ، لا يبدو أن الأشخاص يتابعونها. أخبر Troy Hunt ، الباحث الأمني ​​وراء HaveIBeenPwned.com ، SecurityWatch الشهر الماضي أنه يتوقع بعض التداخل بين قوائم كلمات المرور من خروقات البيانات المختلفة. تحتوي قاعدة بيانات HaveIBeenPwned على قوائم كلمات المرور من أكثر من 30 موقعًا وتتيح للمستخدمين التحقق مما إذا كانت حساباتهم من بين الحسابات التي تم كشفها.

"نحن فقط لم نغير عادات كلمة المرور بما فيه الكفاية" أنه لن يكون هناك تداخل بين انتهاكات البيانات ، وقال هانت.

عاملين الآن

حتى إذا لم تقم بإعادة استخدام كلمات المرور ، فسيظل حسابك عرضة لهجمات القوة الغاشمة ، خاصةً إذا كانت كلمة المرور ضعيفة. تجدر الإشارة أيضًا إلى أنه حتى كلمات المرور القوية والمعقدة يمكن إجبارها بقسوة ، خاصةً إذا كان لدى المهاجم موارد حوسبية كافية ، ووقت ، ودافع. لهذا السبب يجب عليك تشغيل التحقق بخطوتين على أي خدمة تقدمه. لحسن الحظ بالنسبة لنا ، Dropbox هي واحدة من تلك الخدمات ومن السهل إلى حد ما إعداده.

كتب Mityagin "مثل هذه الهجمات هي أحد الأسباب التي تجعلنا نشجع المستخدمين بشدة على عدم إعادة استخدام كلمات المرور عبر الخدمات. للحصول على طبقة إضافية من الأمان ، نوصي دائمًا بتمكين التحقق بخطوتين في حسابك".

يجمع التحقق المكون من خطوتين بين كلمات المرور أو "شيء تعرفه" مع جهاز محمول أو "شيء لديك" لمنع محاولات تسجيل الدخول الاحتيالية. إذا قمت بتمكين عاملين في حساب Dropbox الخاص بك ، فستتلقى رمز أمان مكون من ستة أرقام على هاتفك المحمول أو لديك رمز تم إنشاؤه من تطبيق Google Authenticator. وقال دروببوإكس "وجود خطوتين بدلاً من خطوة واحدة يخلق عائقاً أقوى ضد المهاجمين".

نوصي باستخدام مدير كلمات المرور مثل LastPass لتسهيل إنشاء كلمات مرور فريدة معقدة أيضًا. ولكن في حين أنها قد تبطئ المهاجمين ، فهي ليست مضمونة. قد تكون المصادقة ثنائية العوامل أقل ملاءمة وبطيئة ، لكنها تستحق الجهد الإضافي إذا كانت تمنع المهاجمين من اقتحام حسابك بسهولة.