Así lo afirman a través de su blog oficial tras una investigación que ha durado dos semanas. Al parecer, los nombres y contraseñas de muchos usuarios fueron robadas por terceros que luego las usaron para acceder a las cuentas de Dropbox.
La historia comenzaría a principios de julio, cuando cientos de usuarios del servicio comenzaron a recibir spam a sus correos electrónicos, correo no deseado sobre casinos online y sitios de juego. Los usuarios alertaron al servicio sobre las acciones y estos han estado durante las últimas dos semanas investigando la causa.
Desde hace unas horas y a través de su blog han confirmado que un grupo de hackers accedió a los nombres y contraseñas desde otros sitios de terceros para luego entrar con ellas en Dropbox. En el blog podíamos leer que:
Nuestra investigación encontró que los nombres de usuario y contraseñas robadas recientemente desde otros sitios web se utilizaron para acceder a un pequeño número de cuentas de Dropbox.
Hemos contactado con estos usuarios y les vamos a ayudar a proteger sus cuentas. Una contraseña robada también fue utilizada para acceder a una cuenta de un empleado de Dropbox que contiene un documento de proyecto con las direcciones de correo electrónico de los usuarios. Creemos que este acceso indebido es lo que llevó al spam.
Cuando los usuarios detectaron el problema alertaron a Dropbox a través del foro online que ofrece la compañía. Una situación que llevó a cerca de 300 usuarios a alertar sobre el spam que estaban recibiendo. La procedencia de la mayoría llegaba desde Europa, sobre todo de Alemania, Holanda y Reino Unido.
¿Y qué hacer cuando esto ocurra? Dropbox ha establecido unos nuevos controles de seguridad para evitar la misma situación. Una serie de medidas publicadas en las que se incluye:
- Autentificación doble: Una manera de exigir (es opcional) dos pruebas de identidad cuando entramos en el servicio, una con la contraseña y otra a través de un código temporal enviado a nuestro teléfono que llegaría dos semanas después de activarlo.
- Nuevos mecanismos automatizados: Con el fin de ayudar a identificar actividades sospechosas, Dropbox irá agregando nuevas funciones de seguimiento.
- También se pone en marcha una nueva página donde los usuarios podrán examinar todas las conexiones activas en sus cuentas.
- Por último, Dropbox indica que podrá requerir un cambio de contraseña. Este caso llegaría si se utiliza una contraseña demasiado común o si la cuenta lleva sin uso mucho tiempo.
Junto a este conjunto de medidas el servicio recuerda muchas de las normas que la mayoría sabréis como evitar la misma contraseña en varios sitios.
En cualquier caso, el hackeo a Dropbox vuelve a poner de relieve la importancia en seguridad en este tipo de servicios, más si tenemos en cuenta la base de usuarios con la que cuenta en la actualidad el servicio.