O Dropbox já enviou e-mails para usuários que não alteraram sua senha desde meados de 2012 informando sobre uma mudança de senha obrigatória. (Foto: Reprodução)

Um pacote contendo 68,6 milhões de credenciais (usuários e senhas) do Dropbox está circulando no submundo da web. Acredita-se que os dados foram obtidos em meados de 2012, mas só agora o arquivo está tendo uma distribuição mais ampla. O site “Motherboard” obteve uma confirmação não oficial de um funcionário do Dropbox de que os dados são autênticos.

O Dropbox já enviou e-mails para usuários que não alteraram sua senha desde meados de 2012 informando sobre uma mudança de senha obrigatória. A troca será solicitada no próximo acesso ao Dropbox. A empresa destaca que essa é uma “medida preventiva” e que não há indícios de que as contas foram acessadas indevidamente.

O especialista em segurança Troy Hunt, criador do site “Have I Been Pwned?”, que notifica internautas que tiveram seus dados incluídos em vazamentos, também confirmou a validade dos dados no pacote. Ele conferiu que a senha inclusa no pacote para a conta de sua esposa está correta. “Não dá para falsificar algo assim”, escreveu ele em seu blog, justificando que a senha conferida é única, aleatória e nunca foi usada em outro lugar.

Segundo Hunt, as senhas estão em formato “hash” (ou “digest”), o que esconde senha e exige que hackers interessados executem um programa para quebrar essas senhas. Metade delas está protegida com uma função chamada SHA-1, que é considerada fraca, enquanto as demais estão protegidas com Bcrypt, que é mais robusto.

Apesar disso, as senhas mais fracas com SHA-1 estão acompanhadas, no pacote recebido por Hunt, de uma informação chamada “salt”. Sem essa informação, fica muito difícil, ou quase impossível, quebrar essas senhas.

Além de mudar a senha do próprio Dropbox, recomenda-se a mudança da senha em todos os demais serviços em que ela foi compartilhada. Como a senha aparece atrelada ao endereço de e-mail no pacote, qualquer serviço em que a mesma combinação de e-mail e senha foi usada pode ser acessado por hackers que obtiverem os dados e conseguirem quebrar as senhas inclusas.

Hacking
O Dropbox revelou em 2012 que um de seus funcionários havia sido hackeado e que o invasor obteve um “documento contendo endereços de e-mail” dos usuários. Na época, usuários do Dropbox estavam recebendo e-mails indesejados e essa foi a explicação dada pela empresa.

Como está claro agora, o roubo incluiu também as credenciais dos usuários em formato de “hash”.

Estima-se que o Dropbox tinha aproximadamente 100 milhões de usuários à época da invasão. Hoje, são 500 milhões, segundo declarações da própria empresa. A companhia não informou quantos usuários receberam o aviso para a troca de senha.