Documentdeelwebsite Dropbox werd vier jaar terug gehackt. Hoewel Dropbox toen al liet weten dat het slachtoffer was van een hack, wordt nu pas duidelijk dat het om maar liefst 69 miljoen accounts ging.
De populaire technologiewebsite Vice Motherboard kreeg de gegevens deze week in handen en publiceerde erover. Nu blijkt dat Dropbox lange tijd stilhield wat de omvang was van het lek. Nu heeft het bedrijf alle getroffen gebruikers laten weten dat ze hun wachtwoord moeten veranderen.
Voor veel mensen zal het risico echter meevallen. Uit de gelekte gegevens blijkt dat 32 miljoen wachtwoorden op slimme wijze versleuteld waren en daarmee niks waard op de online zwarte markt. De overige zijn echter wel bruikbaar, hoewel zelfs daar de beveiliging goed genoeg lijkt dat niet zomaar álle gegevens van de gebruiker buitgemaakt kunnen worden.
Klutsfunctie
De versleuteling van wachtwoorden gaat met een zogenoemde hashfunctie (of klutsfunctie in het Nederlands). Het is een regel die een wachtwoord of andere geheime informatie omschudt tot een nieuwe reeks getallen, letters en leestekens. Het originele wachtwoord is nauwelijks af te leiden uit zo'n hash, maar je kan wel kijken of een opgegeven wachtwoord overeenkomt met het wachtwoord in een database – simpelweg door de hash nogmaals uit te voeren op de invoer. Het is dus een éénrichtingsbewerking, die in principe wachtwoorden uitstekend beveiligt.
Helaas bleken in het verleden niet alle hashfuncties even sterk. Een deel van de wachtwoorden was met een verouderde hash versleuteld en daardoor (iets) eenvoudiger te kraken. Door gehashte wachtwoorden te salten (een willekeurig regeltje tekens toevoegen) verhoog je de veiligheid echter weer, en het lijkt erop dat Dropbox dit heeft gedaan bij alle wachtwoorden.
Kortom: Dropbox heeft zijn zaakjes behoorlijk goed op orde. Zelfs na zo'n massale hack lijkt er weinig aan de hand dankzij goede voorbereiding. Dat is overigens niet altijd het geval; berucht was de hack van Adobe, het bedrijf achter Photoshop en pdf-lezers. Daar bleek het terugvinden van de wachtwoorden kinderspel.
Geen zorgen
Dat de gegevens veilig zijn, blijkt ook uit een rondgang van Vice langs de bekende veilingssites, waar persoonsgegevens gekocht kunnen worden. De lijst met Dropbox-accounts is nergens te vinden. Dat suggerereert dus dat de meeste mensen zich geen zorgen hoeven te maken. Toch raadt Dropbox iedereen die voor 2013 een account aanmaakte aan zijn of haar wachtwoord te veranderen – iedereen die getroffen is, heeft als het goed is ook een e-mail gehad.
Openingsbeeld: Logo van Dropbox
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.