هک شدن اطلاعات 7 میلیون کاربر Dropbox

هفت میلیون نامِ کاربری و رمزِ عبورِ مربوط به سایتِ Dropbox هک شده‌اند، ظاهراً هکرها از طریقِ سرویس‌هایِ شخصِ ثالث موفق به دزدینِ اطلاعاتِ ورود شده‌اند.

Business Insider اولین منبعی بود که متوجهِ افشای اطلاعات در سایتی به نامِ Pastebin شد، سایتی که هکرها تا آن زمان حدودِ ۴۰۰ حسابِ کاربری را در آن منتشر کرده بودند. هکرها وعده‌ داده‌اند که در ازایِ اهدایی‌هایِ Bitcoin حساب‌هایِ کاربریِ بیشتری را منتشر کنند. آن‌ها ادعا می‌کنند که بالغ بر ۶٫۹ میلیون آدرسِ ایمیل و رمزِ عبور که متعلق به کاربرانِ Dropbox است را در دست دارند.

Dropbox در یک اظهاریه هک شدنِ خود را تکذیب کرد:

Dropbox هک نشده است. متاسفانه این نام‌هایِ کاربری و رمزهایِ عبور از سرویس‌هایِ دیگری دزدیده شده‌اند و از آن‌ها برایِ ورود به حساب‌هایِ کاربریِ Dropbox استفاده شده است. ما قبلاً متوجهِ این حملات شده بودیم، اکثریتِ این رمزهایِ عبورِ منتشر شده پیشتر باطل شده‌اند. باقیِ رمز‌هایِ عبور نیز به همین شکل باطل شده‌اند.

این بدان معنی است که Dropbox تمامِ ۴۰۰ حسابِ کاربریِ منتشر شده تا کنون را باطل کرده است. اما معلوم نیست که آیا ۷ میلیون حسابِ کاربریِ دیگری که هکرها مدعیِ در دست داشتن‌شان هستند امن هستند یا نه. یکی از سخن‌گویانِ Dropbox به Business Insiderگفته است: Dropbox به صورتِ مداوم حساب‌هایِ کاربری‌ای که موردِ حمله قرار دارند را باطل می‌کند، اما نمی‌تواند تعدادِ حساب‌هایی که اخیراً باطل شده‌اند را اعلام کند. این بدین معنی‌ است که احتمالاً هنوز ۷ میلیون حسابِ Dropbox دیگر آسیب‌پذیرند.

این جوابیه مشابهِ جوابیه‌ای‌ است که Snapchat بهنگامی اعلام داشت که هکرها توانستند ۱۰۰۰۰۰ عکس را از طریقِ یک نرم‌افزارِ شخصِ ثالث از این سرویس بدزند. Snapchat مدعی بود که سرورهایش هک نشده‌ بودند و تنها نرم‌افزار سرورهایِ شخصِ ثالثی که بمنظورِ ذخیره‌ی عکس‌ها طراحی شده بودند هک شده بودند.

مشکلِ اساسی در هر دو مورد در شیوه‌ای است که سرویس‌هایِ پرطرفدار امکانِ ورود به سایت را برایِ کاربرانش فراهم می‌کنند. هرچند سرورهایِ خودِ Dropbox هک نشده‌اند اما هنوز این سرویس امکانِ دسترسی به سرورها را از طریقِ نرم‌افزارهایِ شخصِ ثالث در خود دارد. همچنین هکرها می‌توانند سایت‌هایِ دیگر را هک کرده و اطلاعاتِ به سرقت رفته را در سرویس‌هایی چون Dropbox به کار برند، چرا که بسیاری افراد در سرویس‌هایِ گوناگون از نامِ کاربری و رمزهایِ عبورِ مشابهی استفاده می‌کنند. با فرضِ اینکه هکر‌ها اطلاعاتِ ورود به ۷ میلیون حسابِ Dropbox را در دست دارند این مساله روشن نیست که آن‌ها چکونه این اطلاعات را از یک سرویسِ شخصِ ثالث گرفته و درDropbox استفاده کرده‌اند. سخنگویِ Dropbox نیز در تشریحِ این مساله ناتوان بود.

این روندی نگران‌کننده‌ است. در پیِ این حملات سرویس‌هایی چون Dropbpx، Snapchat و Apple تقصیر را به گردنِ کاربران و سایرِ واسطه‌ها انداخته‌اند، در حالیکه خودِ این سرویس‌ها به نرم‌افزارهایی که به پلت‌فرم‌هایشان دسترسی دارند توجهِ کافی ندارند یا اینکه این ضمانت را به کاربران نمی‌دهند که در صورتِ به خطر افتادنِ اطلاعاتشان ارتباطشان با سیستم باطل نخواهد شد.