Como ver si robaron tu contraseña de Dropbox

[Alejandro]

Dropbox confirmó que le han robado 68 millones de usuarios y contraseñas, en realidad son datos que se obtuvieron en un ataque que recibieron en 2012, hace unos días recibieron una copia de los datos robados y comprobaron que eran reales.

Es un archivo de unos 5 GB con los detalles de 68,680,741 cuentas según informan en motherboard.vice.com.

Fue así que Dropbox lanzó un reset de contraseñas para todos los usuarios que no las habían actualizado desde 2012, cuando se produjo el incidente.

Consejo y cómo verificar si te robaron la contraseña:

No usar la mismas contraseñas para todo, habilitar las verificaciones de dos pasos siempre que se pueda (en Dropbox se puede).

Algo bueno es que parece que el cifrado de los passwords no es sencillo de romper, pero igualmente se recomienda cambiar las contraseñas si se utilizaba la misma en otros servicios.

Y en el sitio https://haveibeenpwned.com se puede ingresar el e-mail para chequear rápidamente si se encuentra en alguna base de datos filtrada, no sólo de Dropbox sino también muchos otros servicios como Linkedln, Badoo, Adobe, MySpaces, tumblr y todos estos https://haveibeenpwned.com/PwnedWebsites

[federico]

Muy interesante, gracias!

Pregunta tonta, https://haveibeenpwned.com es totalmente fiable el resultado?

Para una de mis principales cuentas me sale

"Oh no — pwned!
Pwned on 1 breached site and found no pastes (subscribe to search sensitive breaches)"

pero dudo mucho porque ni yo conozco de memoria la contraseña y como el sitio no informa dónde te tomaron los datos no tengo forma de saber si es positivo o no.

[Alejandro]

Sí, el que mantiene el sitio es un investigador bastante conocido.

Además todos los sitios de seguridad lo recomiendan, más en estos días por lo de Dropbox.

La suscripción es sólo para avisarte automáticamente si tu e-mail aparece en el futuro en alguna filtración.

En mi caso con un e-mail me decía 2 breached (y más abajo las podía ver) y cuando me suscribí para recibir las notificaciones, me apareció un tercer resultado (Badoo, junio 2016), puede que tenga alguna caché o algo por el estilo y por eso no apareció al principio. Pero en todo caso es una suscripción gratuita y es un servicio confiable.

¿Estás seguro de que más abajo de ''Pwned on 1 breached site...'' no te aparece? Algo así:



Ese de 28 breached de la captura es un e-mail al azar (juan @ hotmail.com), pobre Juan lo han re-re-re-hackeado.

[federico]

Ahora sí, fue Dropbox, no fue mi culpa

Gracias por la info, ya me suscribí

[federico]

Hoy recibí un corro de pwned !!!



Cita mi dirección de email con la cual me suscribí y dice esto:

Breach: Exploit.In
Date of breach: 13 Oct 2016
Number of accounts: 593,427,119
Compromised data: Email addresses, Passwords
Description: Note: This data is being loaded a day after the 458 million record "Anti Public" combo list. It's a different data set which may result in subscribers who appear in both lists receiving separate notifications for each.

In late 2016, a huge list of email address and password pairs appeared in a "combo list" referred to as "Exploit.In". The list contained 593 million unique email addresses, many with multiple different passwords hacked from various online systems. The list was broadly circulated and used for "credential stuffing", that is attackers employ it in an attempt to identify other online systems where the account owner had reused their password. For detailed background on this incident, read Password reuse, credential stuffing and another billion records in Have I been pwned.

Supongo que cambiando el password alcanza. Es curioso porque para esa casilla de correo tengo una contraseña más que segura.... será un falso positivo?

[Alejandro]

No sería un hack al servicio de correo directamente, sino a algún otro servicio donde alguna vez se utilizó esa dirección de correo para registrarse.

O sea que la contraseña que robaron sería la que se utilizaba para acceder a ese otro servicio, el problema es no saber cuál exactamente.

El explica en este artículo que recibió dos bases de datos con mil millones de correos y contraseñas que se han robado de diferentes servicios a lo largo del tiempo, las llama "Anti Public Combo List" y "Exploit.In", y las subió a https://haveibeenpwned.com.

Muchos de esos datos ya los tenía cargados en la herramienta de hacks conocidos como el de Linkedln, Badoo, Myspace y todos los que aparecen aquí https://haveibeenpwned.com/PwnedWebsites

Pero ahora hay millones de correos y contraseñas que no forman parte de esos hacks, o sea que tienen un origen desconocido, se pueden haber recopilado con phishing, infecciones o hacks a servicios que no se dieron a conocer públicamente.

Incluso el creador de la herramienta recibió el e-mail de aviso https://twitter.com/troyhunt/status/860934739863126016

[federico]

Muchas gracias, terminé de ver los enlaces que sugeriste.

De momento no creo que valga la pena hacer nada más salvo cambiar la contraseña del correo una vez más por las dudas