406 meneos
4783 clics

Roban más de 60 millones de credenciales de Dropbox

Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.
etiquetas: roban, millones, credenciales, dropbox
181 225 6 K 466 tecnología
Comentarios destacados:                   
#1   Pues nada, a cambiar la contraseña toca
votos: 3    karma: 23
#3   #1 Otra vez.
votos: 4    karma: 38
#4   #3 jeje tras entrar en mi cuenta mira lo que me dice:

Cambia tu contraseña
We expired your password as a security precaution. Consulta nuestro Centro de ayuda para obtener más información sobre la caducidad de las contraseñas y sobre cómo proteger tu cuenta.
votos: 9    karma: 73
#6   #4 xD
votos: 2    karma: 25
#8   #4 Como si saliera de ellos...
votos: 2    karma: 23
#56   #4 Robo de contraseñas? Qué va, que estaban caducadas, mira aquí en la tapa te pone la fecha de caducidad, que no la habías visto.
votos: 4    karma: 40
#68   #56 JAJAJJAJa
votos: 0    karma: 7
#75   #1 Corriendo, me cagon las ostias pachi !!!
votos: 0    karma: 6
#86   #1 Estos robos son un puto coñazo, tocando contraseñas cada poco, estoy pensando en darme de baja de muchos servicios para evitar esto. No se vosotros, pero yo no uso una contraseña exclusiva por servicio, tengo como 5 o 6 dependiendo del nivel de seguridad que quiero, pero si me roban la de Dropbox probarán en otros servicios y en alguno coincide, así que me toca cambiar la de Dropbox y de varias páginas más.
votos: 2    karma: 23
#88   #86 Me pasa exactamente igual que a ti... he tenido que ir servicio tras servicio cambiando la contraseña a todos :-(
votos: 0    karma: 7
#95   #86 Usa un gestor de contraseñas. O usa una variante en cada sitio. Yo añado parte del nombre de la web al final de las contraseñas para tener una distinta en cada sitio fácil de recordar. No es tan seguro como tener una completamente diferente, pero es una mejora.
votos: 0    karma: 7
#94   #1 El problema no es tu contraseña en dropbox, a los hackers se la pelan tus archivos. El peligro es si usas el mismo usuario/email en otros sitios con la misma contraseña (tu banco, por ejemplo). Cuando ocurre esto lo verdaderamente importante es cambiar la contraseña en OTROS sitios donde uses la misma.
votos: 1    karma: 14
#2   Microsoft way of life
votos: 3    karma: 16
#62   #2 ¿A qué te refieres? :-S
votos: 0    karma: 10
#63   #62 Pues que los productos de Microsoft históricamente han tenido deficiencias de seguridad a mansalva.
votos: 2    karma: 21
#87   #63 ¿Y qué tiene que ver eso con la noticia de Dropbox?
#83 ???
votos: 1    karma: 20
 *   inar inar
#90   #63 Todos los productos tienen deficiencias de seguridad.

Lo que ocurre son dos cosas:

- Por una parte el impacto, debido a que los productos de MS son usados de manera masiva
- Por otra la "corrección" del mismo. Que la politica de MS ha sido siempre bastante complicada en esto.
votos: 0    karma: 10
#78   #2 Los servidores de Microsoft a día de hoy no han sufrido ningún robo de datos ni ataque de este tipo. Probablemente te refieras a vulnerabilidades en software, pero a juzgar por las estadísticas en CVE, Microsoft no es un caso especial comparado con los demás.
votos: 3    karma: 37
 *   Anonymouse
#83   #78 No he especificado. Solo digo que es una más para los de Microsoft.
votos: 1    karma: 9
#89   #83 pero es que no lo es
votos: 1    karma: 20
#5   Ya me llegó al correo el sábado pasado una notificación para cambiar la contraseña.

Comunicado oficial de DropBox: www.dropbox.com/l/fpMLBMLBaWFpSfHhiVZ4Ks/help/9257

Obtuvieron los hash de las contraseñas en 2012 y tardan 4 años en forzar el cambio de contraseña ¡bravo!.

Nuestros equipos de seguridad siempre están pendientes de nuevas amenazas a nuestros usuarios. Gracias a estas comprobaciones habituales, identificamos una antigua serie de credenciales de usuarios de Dropbox…

  » ver todo el comentario
votos: 9    karma: 78
#7   30 millones de contraseñas están cifradas con bcript de forma segura. Las restantes, unos 32 millones que el artículo dice que no son seguras, fueron cifradas con SHA1 que no es tan seguro, pero estaban recifradas así que al final también se consideran seguras.

#5 Son dos cosas relacionadas pero diferentes: www.genbeta.com/actualidad/dropbox-hackeado-de-nuevo-el-resultado-mas-
votos: 3    karma: 33
 *   Marx
#91   #80 Como dijo #7 la mitad de las contraseñas filtradas (unos 32 millones) son "más vulnerables", con cifrado SHA1 + un recifrado "propio" de DropBox.
votos: 0    karma: 19
#74   #5 literalmente dicen "que creen que se robaron" em 2012.

Realmente a mi me preocupa mas que tarden 4 años en darse cuenta...
votos: 1    karma: 26
#79   #74 Avisaron en 2012 a todo el mundo para que cambiase de contraseña. A los que os dio pereza... a joderse.
votos: 0    karma: 7
#100   #79 No se porque dices eso, pero si quieres un caramelito toma {0x1f36c} {0x1f36c}
votos: 0    karma: 6
#102   #100 Pues no sé por qué lo diré, a mí me avisaron y cambié la contraseña, pero decirlo no tiene mucho sentido, ¿no? Será que me aburro, no sé.
votos: 0    karma: 7
#80   #5 "Obtuvieron los hash de las contraseñas en 2012"

O sea, que a menos que consigan adivinar tu contraseña, no han obtenido nada.
votos: 1    karma: 10
#9   Si, pero si empleas ataque de diccionario y tu contraseña es fácilmente desmontada con eso, pues cagado la has.
Necesitas contraseñas fuertes, y es difícil recordarlas. Los gestores de contraseñas tampoco son infalibles, aunque desde luego incrementan notablemente la fortaleza de las contraseñas.
votos: 0    karma: 7
#10   #9 Con una contraseña de 127bits me parece que el diccionario se queda corto.
Otra cosa que ponga mi nombre y dni juntos.
votos: 0    karma: 14
#11   #10
¿Contraseñas de 127bits? Serán caracteres. En cualquier caso, si tus contraseñas emplean un patrón, su fortaleza disminuye.
votos: 0    karma: 7
votos: 1    karma: 19
#17   #15
Una cosa es la longitud de bloque de la clave criptográfica (128, 256, 512, 1024, 2048, 4096, ...) y otra es la longitud de la contraseña.
votos: 2    karma: 18
#18   #17 Sin embargo, en Keepass te indican la calidad de tu contraseña en bits

Añado:" La longitud: cuanto mayor sea el número de bits de información en la clave, mayor es el número de combinaciones que debe probar un atacante que use la pura fuerza bruta. Por ejemplo, una clave compuesta de dos cifras necesita 100 intentos como máximo para ser descubierta, mientras que una clave de cinco dígitos requiere 100.000 intentos como máximo. "

keepass.info/news/n070901_1.08_create.png
votos: 7    karma: 50
 *   Marx
#19   #18
Pues muy bien.
votos: 9    karma: -44
#20   #19 Pues me alegro pero para ampliar información, busqué y encontré esto: trucosinformaticos.wordpress.com/2014/06/29/cuantos-bits-tiene-mi-cont
votos: 4    karma: 46
#21   #20
Vale, pero eso te lo quedas para ti, no hace falta que vengas aquí a responderme con lo que encuentres.
votos: 6    karma: -33
#22   #21 Ah, perdone usted por intentarle explicar el por qué el equivocado es usted, no nosotros. Uno lo hizo con buena voluntad. La próxima vez simplemente le mandaré a la mierda y le instaré a que busque en el puto Google.

Hay que joderse.
votos: 13    karma: 91
#23   #22
¿En qué me he equivocado, querido Wintroll?
votos: 1    karma: 0
#25   #23 En pretender decir que las contraseñas no se miden en bits sino en caracteres: "¿Contraseñas de 127bits? Serán caracteres."

De hecho, es más correcto medir la fortaleza en bits que en caracteres. Una contraseña de 18 caracteres puede ser más débil que una de cinco.


Mi querido Estanozololl
votos: 5    karma: 42
#26   #25
Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas. No lo entiendo.
votos: 1    karma: 5
#27   #26 Pues es algo así como hablar de Linux cuando hablas de GNU-Linux, que siempre hay alguno que le busca los cinco pies al gato.

Te lo explicaba mejor pero luego me riñes.
votos: 0    karma: 8
#28   #27
Sigo sin entenderlo, qué tiene que ver GNU Linux con las contraseñas, su longitud y su posterior transformación en un bloque de X bits mediante un algoritmo de resumen que genera bloques de X bits.
votos: 0    karma: 7
#29   #28 Que linux es el kernel.

Lo que no entiendo yo es por qué metes las transformaciones en esta discusión. No te has leído el enlace.
votos: 0    karma: 8
#30   #29
No sé, eres tú el que ha venido a hablar de contraseñas y bits, cuando no vienen a cuento los bits al hablar de contraseñas.
votos: 1    karma: 0
#31   #30 Manda cojones que digas que no vienen a cuento los bits al hablar de contraseñas después de todo lo que te he puesto.

dF#3 es más seguro que 1111111111111111111111111111111 ¿por qué? ¿cómo lo expresas?
votos: 0    karma: 8
#32   #31
La longitud de una contraseña se mide en caracteres. Otra cosa es que hables de la clave criptográfica, cuya longitud se mide en bits.
Depende de los caracteres que uses la clave criptográfica será más o menos larga, ya que el alfabeto a codificar tendrá más o menos símbolos, y por tanto necesitarás más o menos bits por símbolo.

La seguridad obviamente no depende únicamente de la longitud en caracteres de la contraseña o del numero de bits de la clave criptográfica. Habitualmente se…   » ver todo el comentario
votos: 2    karma: 8
#33   #32 En que aquí estamos midiendo la fortaleza de la contraseña.

Tú dijiste, "Hablas de medir contraseñas y luego hablas de medir fortaleza de contraseñas"

Y yo te dije "Pues es algo así como hablar de Linux cuando hablas de GNU-Linux"

Es decir, que en todo momento hablamos de la fortaleza de la contraseña, no de su longitud, aunque abreviemos como cuando decimos Linux por GNU-Linux.

La fortaleza de una contraseña se expresa en bits, no en número de caracteres, que poco significan por todo lo que explicas.
votos: 1    karma: 18
#34   #33
Tu hablarás de fortaleza, yo hablaba de longitud de la contraseña. Pero como siempre, te lo montas para soltar tu rollo. No tiene nada que ver con la abreviación de GNU Linux por Linux (que no es una abreviación, es un error y confusión del término, Linux es el kernel).

Ya puedes tener una contraseña cuya clave sea de 1024 bits, que si estos bits no son aleatorios gracias aun algoritmo de resumen, esos 1024 bits no tienen ninguna fortaleza. El comentario que supuestamente ha desatado ésta discusión es el siguiente:

Con una contraseña de 127bits me parece que el diccionario se queda corto.

Los bits miden longitud de clave, las contraseñas (passphrases) van en caracteres.
votos: 3    karma: -11
#35   #34 No, tú hablabas de fortaleza de contraseñas:

"Necesitas contraseñas fuertes, " Comentario #9

No estamos hablando de la clave de 1024bits sino de la contraseña de X bits.

Una contraseña de 5 bits para una clave de 1024 bits puede ser: 1111111111
Una contraseña de 33 bits para la misma clave puede ser: dX.$1

La primera contraseña tiene una longitud de 10 caracteres pero una fortaleza de solo 5 bits por ser solo numérica y un mismo número repetido. Si la contraseña fuese "1042" a pesar de ser solo cuatro números, ya es una contraseña de 11 bits.

La segunda tiene una longitud de 5 caracteres pero una fortaleza de 33bits, por tener minúsculas, mayúsculas, números, símbolos y aleatoria.
votos: 0    karma: 8
 *   Marx
#36   #35
A ver: en.wikipedia.org/wiki/Key_(cryptography)#Key_vs_Password

Y repito, la fortaleza de una contraseña no se mide en bits. Ni en caracteres. Ahí tú has querido soltar tu rollo de los bits y ya está. Un indicativo de fortaleza es la entropia, que se mide en bits: en.wikipedia.org/wiki/Password_strength
La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.

Así pues, el comentario que desató la discusión, estaba equivocado. Una contraseña (passphrase) tiene caracteres, no bits. Otra cosa es la entropia de la contraseña.
votos: 1    karma: 0
#37   #36 La fortaleza se mide en entropia, que se mide en bits

¿tú no encuentras ahí algo raro?

Osea, el tamaño de una carretera no se mide en kilómetros. El tamaño se mide en longitud, que se mide en kilómetros. WTF?

Entropía:

En seguridad informática, la entropía de una contraseña es la cantidad de aleatoriedad para hacer a la misma difícil de adivinar. Este término se expresa en términos de bits, y define una medida en el número de intentos que debe realizar un programa de…

  » ver todo el comentario
votos: 1    karma: 15
 *   Marx
#38   #37
Sí, veo algo raro, porque la entropia (medida en bits) es un indicativo de fortaleza. La fortaleza de una contraseña es en función de longitud de la contraseña, complejidad, e impredicibilidad.
votos: 1    karma: 0
#39   #38 Guai, estamos de acuerdo en eso.

Entonces, ¿tú no crees que cuando te dicen que tienen una contraseña de 127bits, te están diciendo la fortaleza de esa contraseña?
votos: 0    karma: 8
#40   #39
Lo que me están diciendo es que la longitud de la contraseña es de 127 bits, lo cual es erróneo. La longitud se mide en caracteres. No es cuestión de creencias.
votos: 1    karma: 0
#41   #40 No, no te están diciendo la longitud de la contraseña, te están diciendo la fortaleza. Si te dijesen la longitud, te dirían el número de caracteres.

Si a ti te dicen que una vara tiene 2 metros ¿tú crees que te están diciendo el peso de la vara? No, ¿verdad? porque metros es medida de longitud, no de peso. Pues con esto lo mismo.
votos: 0    karma: 8
 *   Marx
#42   #41
En ningún sitio web verás "escribe una contraseña con una entropia de 127 bits", así que no se puede sobreentender que cuando te digan contraseña de 127 bits se refieran a su entropia, cuando siempre te piden longitud.

De hecho incluso podrías entender que al decir contraseña de 127 bits es una contraseña de 16 ó 19 carácteres según ASCII de 7 bits o ASCII de 8 bits por caracter.
votos: 0    karma: 7
#43   #42 ¿y quién coño te habla de sitios webs y de lo que estos te digan o dejen de decir?

Lo que dices es como decir que cuando te hablan de kilómetros no se puede sobreentender que hablan de longitud, porque a lo mejor es el peso.
votos: 0    karma: 8
#44   #43
Nah, está demasiado pillada por los pelos tu comparación. Poca voluntad tienes.
votos: 0    karma: 7
#45   #44 A ver, tus propias palabras:

"porque la entropia (medida en bits) es un indicativo de fortaleza."

"Un indicativo de fortaleza es la entropia, que se mide en bits"

¿por qué dices que está pillada por los pelos si tú has demostrado que lo entiendes perfectamente? Son ganas de discutir.

La longitud se mide en metros, la fortaleza en bits.
votos: 0    karma: 8
 *   Marx
#46   #45
Los caracteres también se miden en bits.
votos: 0    karma: 7
#47   #46 En cierto modo está relacionado, pero ya hay que ser retorcido. Cuando alguien te quiere hablar de caracteres, te dirán uno dos o tres, no 24 bits.
votos: 0    karma: 8
#48   #47
Cuando alguien te quiere hablar de longitud de una contraseña, te dirá dos o tres caracteres, no bits de entropia.
votos: 0    karma: 7
#49   #48 Es lo que te dije. Por eso cuando te hablan de bits no se te puede ir la cabeza a la longitud de la contraseña.
votos: 0    karma: 8
#50   #49
Si estás hablando de longitud de contraseña como sinónimo de fortaleza al ser un componente de fortaleza, sí.
votos: 0    karma: 7
#51   #49 #50 más de 30 comentarios (de los 50 totales del meneo) para ver quién la tiene más grande.

¿Os la medís en centímetros o en bits? :-|
votos: 4    karma: 26
#52   #50 si hablas de longitud como sinonimo de fortaleza metes la pata.

#51 yo en hexabits, el en nanometros.
votos: 0    karma: 8
#53   #52
No te digo yo que no, pero para decir eso no hacen falta 30 comentarios. Es como GNU Linux vs Linux a secas.
votos: 1    karma: 0
#54   #53 Pasamos de " qué tiene que ver GNU Linux con las contraseñas," ( #28 ) a "Es como GNU Linux vs Linux a secas. "

Eres un cachondo.

Reconócelo, en el fondo me quieres.
votos: 2    karma: 27
 *   Marx
#55   #54
Los que se pelean se desean. Es una frase en plural.
votos: 1    karma: 16
#58   #55 por favor, seguir xD
votos: 1    karma: 17
#60   #54 #55 venga, ya que nadie lo dice lo digo yo: buscad una habitación ya!!
votos: 3    karma: 30
#71   #60 Pero una con cámara oculta!!! Yo quiero ver cómo sigue esto! xD
votos: 0    karma: 10
votos: 0    karma: 10
#76   #54 Habia una vez.....
Uuuun circooooo .....
votos: 0    karma: 6
#77   #51 En la puta entropia que han metido en el puto hilo, un poco mas y se abre un agujero negro y sale cthulhu a ostiarios.
votos: 0    karma: 7
#85   #29 déjalo,es un troll
votos: 1    karma: 12
#66   #9 esto ...  media
votos: 3    karma: 22
#81   #66 Sí, esa es mi contraseña, "correct horse battery staple"... dicen que es muy segura :shit:
votos: 0    karma: 7
#96   #66 Tiene una alta entropia pero con un ataque de diccionario la descifras en minutos. Una contraseña escrita en pseudo 1337 es mucho mas dificil de romper. Ejemplo: c0rr3ctb4tt3ryst4ppl3
votos: 0    karma: 10
#70   #9 para eso tenemos la nemotecnia:D
votos: 0    karma: 11
#12   A mí no me han pillado :roll:

blogs.dropbox.com/dropbox/2015/08/u2f-security-keys/

Ojalá U2F se convirtiera en un verdadero estándar. Lista de servicios soportados

www.dongleauth.info/
votos: 2    karma: 27
 *   jonolulu jonolulu
#14   #12
Google usa características específicas de Chrome/Chromium:
addons.mozilla.org/es/firefox/addon/u2f-support-add-on/reviews/802523/

Es decir, para usar U2F con Google tienes que tener Chrome/Chromium.
votos: 0    karma: 7
#97   #12 La U2F sigue siendo vulnerable a un robo de la base de datos. La contraseña es el "token generador".
votos: 0    karma: 6
#99   #97 Ante un robo de base de datos poco se puede hacer, pero sólo es vulnerable en ese servicio.

A cada conexión un desafío criptográfico firmado por la clave privada de la llave. Los servicios sólo tienen la pública
votos: 0    karma: 12
#13   Que mal lo van a pasar las empresas entre el Reglamento de Privacidad, la futura Directiva de e-Privacidad y la Directiva de cyberseguridad (recientemente aprobada). En la cual tendrán que notificar inmediatamente incidentes graves de seguridad en el momento que se conozcan y si no sanción al canto.

Salu2
votos: 5    karma: 59
#16   Por si acaso, tengo activada la autenticación en 2 pasos.
votos: 1    karma: 17
#24   Hacker se hacen con más 60 millones de contraseñas, con un buen porcentaje de las mismas, susceptibles de ser descifradas.
Errónea o sensacionalista. Si no han sido averiguadas, no se han hecho con/robado las contraseñas/credenciales.
votos: 0    karma: 7
#57   ¿En serio que hay que cambiar otra vez? Entre estos y los de eBay cada dos por tres dan ganas de mandarlos al carajo...
votos: 0    karma: 6
#59   Por esto, lo que queráis guardar de forma privada en Dropbox ha de estar cifrado.
votos: 0    karma: 16
#61   La nube es segura. Es genial imaginar tus documentos personales desfilando por todos sitios.
votos: 0    karma: 10
votos: 0    karma: 7
#65   Ahora a esperar el pastebin y ver si estas afectado.
votos: 0    karma: 10
jrz jrz
#72   #65 No hace falta. Puedes chequear aquí:
haveibeenpwned.com/

Mi mail aparece en dropbox... :-(
votos: 2    karma: 28
#82   #72 Si has cambiado tu contraseña después de 2012, y/o tienes activado el 2-factor, y/o siempre has usado una contraseña decente... da igual que alguien tenga el hash con salt de tu contraseña de 2012.
votos: 0    karma: 7
#67   A quien le pueda interesar una alternativa de software libre y descentralizada (con todos sus pros y sus contras) que funciona bastante bien (en mi humilde opinión):
syncthing.net
votos: 3    karma: 44
#98   #67 Owncloud, Seafile... :-)
votos: 0    karma: 9
#69   Pues les va a llevar tiempo procesar 60 millones de cuentas...
votos: 0    karma: 6
#73   Lo importante es siempre dividir los archivos en personales, laborales y TOPSECRET.

Par los archivos personales y laborales que aun cuando no queremos que estén circulando por Internet tampoco sería una gran tragedia si sucediera, es bueno tenerlos respaldados localmente y con servicios en la nube como DropBox o Google Drive.


TOPSECRET: Estos documentos que no queremos que sean públicos por nada del mundo, es mejor tenerlos respaldados localmente en formatos de archivos cifrados con la máxima seguridad y de preferencia en ordenadores o discos que no estén conectados a Internet permanentemente, o bien si vamos a subirlos a la nube que tengan una o dos capas de cifrado.
votos: 2    karma: 39
 *   UsuarioPromedio UsuarioPromedio
#84   ¿Alguien puede explicarme por que bcrypt es seguro? ¿o es solo más seguro?

Es decir, un hash de una password débil puede atacarse mediante diccionario (hay BBDD de hash-->pass)

¿Con bcrypt no puedes hacer lo mismo? entiendo que para una contraseña no te compense, pero para 30 millones... ¿no puedes generar un diccionario de hash con el salto que le haya puesto dropbox y después comparar los 32 millones contra ese diccionario? por lo que he entendido el salto forma parte del propio hash y el número de iteracciones también. ¿que se me escapa?

Gracias
votos: 0    karma: 9
#93   #84 Bcrypt es seguro porque es un hash muy lento de generar y diseñado para no ser optimizado por GPU, por tanto ralentiza muchísimo un ataque de fuerza bruta.

Y en cuanto al diccionario, entiendo que tu idea es:

- Generas un diccionario de hashs.
- Comparas ese diccionario con los 30 millones de contraseña.

Para eso hay una protección: la sal.

Cuando se va a guardar una contraseña, se genera un código aleatorio, se hashea con la contraseña y se guarda con la contraseña.

Por ejemplo, la…   » ver todo el comentario
votos: 4    karma: 42
 *   amchacon
«12
comentarios cerrados

menéame