Violazioni dei dati

La violazione di Dropbox Sign espone email, password con hash e dati MFA

1 maggio 20264 min di lettura

Di James Okafor — Certificato CIPP/E, specialista in diritti digitali e diritto alla privacy

La violazione di Dropbox Sign espone email, password con hash e dati MFA

Cosa è successo nella violazione di Dropbox Sign

Dropbox ha comunicato un significativo incidente di sicurezza che ha colpito il suo servizio Dropbox Sign, una piattaforma di firma elettronica utilizzata da privati e aziende per inviare e firmare documenti legalmente online. Un attore malevolo ha ottenuto accesso non autorizzato all'ambiente di produzione della piattaforma, ovvero l'infrastruttura attiva che gestisce i dati reali degli utenti, portando via un'ampia gamma di informazioni sensibili.

I dati esposti includono indirizzi email, numeri di telefono, password con hash e dettagli relativi all'autenticazione a più fattori (MFA). Quest'ultima categoria è particolarmente significativa. L'esposizione delle impostazioni MFA e dei token di dispositivo significa che gli aggressori potrebbero avere a disposizione più della semplice password. Dropbox ha iniziato a notificare gli utenti interessati e li esorta a reimpostare immediatamente le proprie credenziali.

L'indagine è ancora in corso e l'entità completa della violazione non è ancora stata confermata pubblicamente.

Perché l'esposizione dell'MFA rende questa violazione più grave

La maggior parte delle violazioni di dati segue uno schema familiare: email e password con hash vengono esposte, l'aggressore tenta di decifrare l'hash o di utilizzare le credenziali su altri servizi, e gli account cadono. Questa violazione va un passo oltre.

Quando i dati di configurazione dell'MFA vengono compromessi, gli aggressori ottengono potenzialmente informazioni su come è configurato il secondo fattore della vittima. A seconda di cosa è stato memorizzato e in che modo, ciò potrebbe rendere più facile aggirare o manipolare socialmente quel secondo livello di protezione. Significa anche che il semplice cambio della password potrebbe non essere sufficiente. Se la tua app di autenticazione è collegata a un token di dispositivo che è stato esposto, la catena di sicurezza ha un anello debole che deve essere sostituito completamente.

Le password con hash, pur non essendo immediatamente leggibili, non sono necessariamente al sicuro. Le password deboli o riutilizzate possono essere decifrate tramite attacchi a dizionario o rainbow table. Se la tua password di Dropbox Sign era corta, comune o condivisa con un altro servizio, deve essere considerata compromessa fin da ora.

Cosa significa per te

Se hai un account Dropbox Sign, l'ipotesi più prudente è che il tuo indirizzo email e l'hash della password siano nelle mani di qualcuno che non avrebbe dovuto averli. Ecco cosa dovresti fare:

Reimposta immediatamente la tua password di Dropbox Sign. Usa una password forte e unica che non hai utilizzato da nessun'altra parte. Un gestore di password semplifica questo processo ed elimina la tentazione di riutilizzare le credenziali.

Effettua una nuova registrazione all'MFA. Non lasciare in uso la configurazione MFA esistente. Poiché i dati di configurazione MFA facevano parte della violazione, la mossa prudente è disabilitare l'attuale configurazione MFA e poi reimpostarla da zero. Se utilizzi l'autenticazione a due fattori via SMS, considera di passare a un'app di autenticazione, generalmente più resistente alle intercettazioni.

Verifica il riutilizzo delle credenziali. Se la stessa password che hai usato per Dropbox Sign compare altrove, cambiala anche su quegli altri servizi. Il credential stuffing, in cui gli aggressori prendono un set di credenziali violate e le provano su decine di altre piattaforme, è uno degli attacchi successivi più comuni ed efficaci dopo una violazione di questo tipo.

Monitora i tuoi account per attività insolite. Tieni d'occhio email di reimpostazione della password che non hai richiesto, notifiche di accesso non familiari o qualsiasi attività account che sembra fuori posto. Questo è particolarmente importante per gli account email, che possono essere usati come porta d'accesso per reimpostare le password di tutto il resto.

Usa una VPN sulle reti non attendibili. Quando reimposti le credenziali o accedi nuovamente ai servizi, farlo tramite una connessione affidabile e cifrata riduce il rischio che le tue nuove credenziali vengano intercettate. Il Wi-Fi pubblico e le reti condivise non sono il posto adatto per gestire il recupero degli account.

La difesa in profondità non è facoltativa

La violazione di Dropbox Sign è un promemoria del fatto che nessuna singola misura di sicurezza è sufficiente da sola. Le password con hash sono migliori del testo in chiaro, ma non sono inviolabili. L'MFA è meglio di una sola password, ma non è impenetrabile quando i dati di configurazione stessi vengono esposti. L'obiettivo della difesa in profondità è garantire che, quando un livello fallisce, gli altri siano ancora in piedi.

Per gli utenti comuni, ciò significa combinare password forti e uniche, un MFA robusto, abitudini di rete prudenti e un monitoraggio regolare in una routine, anziché come reazione a un evento. Le violazioni continueranno ad accadere. Le organizzazioni a cui affidi i tuoi dati a volte falliranno nel proteggerli. Ciò che puoi controllare è quanto danno può fare un singolo account compromesso prima che tu te ne accorga.

Inizia dalle basi: cambia le password interessate, aggiorna la tua registrazione MFA e verifica dove altro potresti aver riutilizzato le stesse credenziali. Questi tre passaggi ti metteranno al riparo dalla maggior parte dei rischi creati da questa violazione.

// FAQ

Quali tipi di dati sono stati esposti nella violazione di Dropbox Sign?

La violazione ha esposto indirizzi email, numeri di telefono, password con hash e dettagli relativi all'autenticazione a più fattori (MFA), inclusi i token di dispositivo. Dropbox ha iniziato a notificare gli utenti interessati esortandoli a reimpostare immediatamente le proprie credenziali.

Perché l'esposizione dei dati MFA è particolarmente preoccupante?

I dati di configurazione MFA compromessi potrebbero fornire agli aggressori informazioni su come è configurato il secondo fattore della vittima, rendendo potenzialmente più facile aggirare quel livello di protezione. Ciò significa che il semplice cambio della password potrebbe non essere sufficiente a mettere completamente in sicurezza il proprio account.

Le password con hash sono al sicuro dagli aggressori?

Le password con hash non sono immediatamente leggibili, ma non sono necessariamente al sicuro, poiché le password deboli o riutilizzate possono essere decifrate tramite attacchi a dizionario o rainbow table. Qualsiasi password di Dropbox Sign corta, comune o riutilizzata deve essere considerata compromessa.

Cosa dovrebbero fare gli utenti di Dropbox Sign in risposta a questa violazione?

Gli utenti dovrebbero reimpostare immediatamente la password di Dropbox Sign con una password forte e unica, effettuare una nuova registrazione all'MFA anziché lasciare in uso la configurazione esistente, e cambiare la password su qualsiasi altro servizio in cui le stesse credenziali erano state riutilizzate.

Dropbox ha confermato l'entità completa della violazione?

No, l'indagine è ancora in corso e l'entità completa della violazione non è ancora stata confermata pubblicamente. Dropbox ha comunicato l'incidente e ha iniziato a notificare gli utenti interessati, ma i dettagli completi sono ancora in attesa di definizione.

Cosa è successo nella violazione di Dropbox Sign

Perché l'esposizione dell'MFA rende questa violazione più grave

Cosa significa per te

La difesa in profondità non è facoltativa

// FAQ

// Correlati