Компания Dropbox призналась в корпоративном блоге, что рассылка спама двухнедельной давности была осуществлена в результате несанкционированного доступа к некоторым аккаунтам, пароли от которых злоумышленники узнали благодаря массовой утечке паролей с других сайтов.
Для расследования этого инцидента компания Dropbox привлекла независимых экспертов по информационной безопасности, которые и помогли восстановить полную картину происшедшего. Среди прочих, злоумышленники получили доступ к аккаунту одного из разработчиков Dropbox, у которого в папке лежал документ с почтовыми адресами пользователей — именно эта база позволила злоумышленникам осуществить рассылку спама.
Это уже далеко не первая проблема с безопасностью Dropbox за последние два года. Например, в июле 2011 года обнаружилось, что в некоторые аккаунты Dropbox можно зайти с произвольным паролем.
Очевидно, что факт многочисленных взломов недвусмысленно намекает, что систему безопасности сайта нужно кардинально улучшать. Руководство Dropbox это понимает и объявило о введении двухфакторной аутентификации с использованием мобильных устройств. Новую систему введут в строй в течение двух недель.
Кроме двухфакторной аутентификации, внедряются дополнительные меры защиты:
- Новая страница с указанием активности пользователя, IP-адресами и временем последних случаев входа в аккаунт.
- Новые автоматизированные механизмы для помощи в выявлении подозрительной активности.
- Принудительная смена пароля пользователя в определённых условиях (например, если он долго не менялся).
