Dropbox hesabınızı 2012 yılında veya öncesinde aldıysanız hemen şifrenizi değiştirin!
Dünyanın en büyük dosya yedekleme, paylaşım ve bulut depolama platformlarından olan Dropbox, bu haftanın başında 60 milyondan fazla kullanıcı hesabının şifrelerinin 2012 yılında çalındığının anlaşıldığını duyurdu.
2012 yılında bir çalışanın şifresinin çalınarak hesabına girilmesi ile birlikte, bulut deposunda bulunan kullanıcı e-posta listelerinin çalındığı duyurulmuştu. Firma o zamanlarda çalınan bilginin yalnızca e-posta adresleri olduğunu, kullanıcılara gelmesi olası spam e-postalar için peşinen özür dilediğini belirtmişti.
Kullanıcı şifrelerini hash olarak tuttuğu ve bu hash’lere salt denilen rastgele veri parçaları kattığı için şifrelerin kırılmasına imkansız gözüyle bakılıyordu. 2012 yılı öncesinde hash olarak standart prosedür olan SHA-1 kullanılıyordu. Ancak 2012 yılı içerisinde daha güvenli ve kırılması zor olan bcrypt’e de geçiyordu. Çalınan şifrelerin 32 milyon adedinin bcrypt ile şifrelenmiş olduğu belirtiliyordu. O sırada bilinen yöntemler ile kırılması mümkün görünmeyen şifreler için şirket endişelenmemişti.
Güncel açıklamalarına göre şu anda şirketin 500 milyon kullanıcı kaydı bulunuyor ancak bunların kaçının aktif kullanıcı olduğu açıklanmıyor. 2012 yılındaki bir röportajında Dropbox CEO’su Drew Houston 100 milyon civarında kullanıcıları olduğundan bahsediyordu. Bu da 2012 yılındaki olayda şirketin müşterilerinin 5’te 3’ünün e-postaları ve şifreleri çalındı.
Suçlu hem Dropbox hem LinkedIn
Peki, hackerlar daha ilk başta çalışanın şifresini nereden bulmuşlardı? LinkedIn’den. Dropbox çalışanı, şirketin kendisine sağladığı şifresinin aynısını LinkedIn’de de kullanmıştı. LinkedIn’in çok yakın bir tarihte hacking kurbanı olması sonucunda hackerlar basitçe şifreyi Dropbox hesabında da denemiş ve anında hesaba giriş yapmıştı.
Buradaki büyük sorun, hackerların elinde 2012 yılından beri hangi şifrenin SHA-1 veya bcrypt ile hash’lendiğinde nasıl bir veri elde ettikleri bilgisinin bulunması. Hala salt prosedürü ile şifrelere girilen rastgele veriler işleri zora soksa da, şifre kırma konusunda önemli bir kestirme yol elde ettikleri kesin. Ayrıca bu kestirme yolun devamını takip etmek için de ellerinde 4 yıl vardı.
2012 olayından sonra şirketin Güven ve Güvenlik Başkanı Patrick Heim, bir daha böyle bir olayın gerçekleşmemesi için çalışanların hepsine 1Password hizmetini kullanmalarını ve benzersiz şifreler üreterek aynı şifreyi internet üzerinde iki ayrı yerde kullanmamalarını özendirdiklerini söylüyor. Şirket aynı zamanda hem çalışanlarına hem de müşterilerine çift adımlı kimlik doğrulama seçeneği sunuyor.
Dropbox’ın finansal planları etkilenecek
Dropbox günümüze kadar 600 milyon dolar yatırım aldı ancak henüz ciddi bir karlılık oranı yakalayamadı. Geçtiğimiz Temmuz ayındaki bir röportajında 200 bin civarında ücretli kullanıcıları olduğunu açıklayan Drew Houston, bu rakama hem Dropbox Pro hem de Dropbox Business kullanıcılarının dahil olduğunu söyledi. Bulut şirketinin kurumsal müşterileri arasında Hewlett-Packard, News Corp. ve Expedia gibi şirketler bulunuyor.
Geçtiğimiz günlerde piyasa değerinin 10 milyar dolar olduğu tahmin edilen şirketin o zamanlardaki piyasa değeri ise 4 milyar dolar olarak ölçülüyordu. Ancak 2017 yılında borsaya açılmayı düşünen Dropbox’ın piyasa değeri, 60 milyon kullanıcısının e-posta adresleri ve şifrelerinin korsanların elinde olduğunu açıklaması doğal olarak piyasa değerini etkileyecektir. Bu etkinin en büyük sebebi ise e-postaların ve şifrelerin çalınmış olması değil, 2012 yılında vuku bulmuş bu talihsiz olayın en önemli detayı olan şifrelerin çalınmış olduğu gerçeğinin daha yeni açıklanıyor olması.