Hồi đầu tuần này, dịch vụ dữ liệu đám mây nổi tiếng Dropbox thông báo một lượng lớn thông tin khách hàng, vốn bị lộ từ năm 2012, đang tự do trôi nổi trên mạng.
Các thông tin của hơn 60 triệu tài khoản Dropbox đã bị hacker lấy được từ năm 2012. Nguyên nhân là password tài khoản nội bộ của một nhân viên Dropbox bị đánh cắp. Mà người này lại đang nắm giữ một tài liệu dự án trong đó đang lưu trữ danh sách các email của khách hàng Dropbox. Đáng nói hơn, nhân viên này đã bất cẩn dùng chung password này với password tài khoản mạng xã hội LinkedIn của mình. Và hacker sau khi hack tài khoản trên LinkedIn, đã có được password để xâm nhập vào hệ thống của Dropbox.
Điều mà Dropbox không công bố hồi năm 2012 là không chỉ danh sách email, mà cả password Dropbox của khách hàng của bị đánh cắp. Trong thông báo mới đây, hãng đã thú nhận điều này nhưng trấn an là dù có bị đánh cắp, các thông tin password đều đã bị mã hóa và các hacker không thể giải mã được.
Trong nhóm các password bị đánh cắp, một số password được mã hóa bằng kỹ thuật SHA-1, vốn khá phổ biến trước năm 2012. Nhưng lúc bấy giờ, Dropbox đã chuyển sang kỹ thuật mã hóa khác tiên tiến hơn là bcrypt, được 32 triệu tài khoản bị đánh cắp sử dụng. Ngoài ra, các mật mã còn được bảo vệ bằng một lớp “muối” (kỹ thuật “salt”, thêm vào một dòng dữ liệu ngẫu nhiên để gia cố khả năng mã hóa). Vì vậy hãng vẫn trấn an người dùng là dù hiện các tài khoản và mật mã họ dùng đang trôi nổi khắp nơi trên mạng (đặc biệt là khu “dark web”, nơi quy tụ các thành phần hacker bất hảo trên khắp thế giới), thì các biện pháp mã hóa thông tin của họ hiện vẫn chưa bị phá giải.
Vào lúc xảy ra vụ trộm năm 2012, Dropbox vẫn là một công ty non trẻ, với thị giá 4 tỷ USD (hiện nay là 10 tỷ). Để vụ việc xảy ra không hoàn toàn là do lỗi của công ty, mà chỉ là sự bất cẩn của một nhân viên khi dùng lại password cho nhiều tài khoản khác nhau, điều mà các chuyên gia bảo mật luôn khuyên người dùng tránh làm. Hiện tại, Dropbox đã gia cố các quy trình bảo mật của mình bằng cách cấm nhân viên dùng lại password, thuê dịch vụ quản lý mật khẩu 1Password cấp cho toàn bộ nhân viên, và dùng các biện pháp bbảo mật 2 bước (như password kết hợp mã OTP) cho các hệ thống nội bộ.
Dù gì đi nữa, nếu có dùng dịch vụ Dropbox, có lẽ chúng ta nên đổi password ngay và định kỳ thường xuyên.
Nguyên Khang (Theo TechCrunch)
Nguồn : kul.vn
