Beveiligingsonderzoeker Troy Hunt vertelt dat het niet om zomaar weer een database gaat die is bij elkaar gesprokkeld door ondernemende malafide verzamelaars, maar dat de 68 miljoen records zijn gestolen in een hack. Dropbox zelf heeft tevens tegenover The Register bevestigd dat de gegevens echt zijn en dat het gaat om data uit 2012.

Resetten wachtwoord

De impact lijkt niet zo groot, daar de wachtwoorden goed gehasht zijn met bcrypt en een snufje salt. Maar Hunt trof ook een database aan met SHA-1 zonder salt, wat een stuk eenvoudiger te kraken is. Sowieso is het advies om je Dropbox-wachtwoord te veranderen en daar geeft Dropbox op deze pagina instructies voor.

De dienst Have I Been Pwned (neem ook meteen even de tijd om je in te schrijven onder het tabblad 'Notify' en/of om het initiatief van onderzoeker Troy Hunt financieel te steunen) is slachtoffers beginnen te informeren als hun e-mailadres opduikt in de database. Op de site kun je controleren of jouw gegevens zijn aangetroffen.

Update 9.50 uur: N.B.: Het resetten van je Dropbox-account is niet per direct geactiveerd: bij de eerstvolgende sessie werken de nieuwe credentials. Log dus na het wijzigen van je wachtwoord opnieuw in.