هفت میلیون نامِ کاربری و رمزِ عبورِ مربوط به سایتِ Dropbox هک شدهاند، ظاهراً هکرها از طریقِ سرویسهایِ شخصِ ثالث موفق به دزدینِ اطلاعاتِ ورود شدهاند.
Business Insider اولین منبعی بود که متوجهِ افشای اطلاعات در سایتی به نامِ Pastebin شد، سایتی که هکرها تا آن زمان حدودِ ۴۰۰ حسابِ کاربری را در آن منتشر کرده بودند. هکرها وعده دادهاند که در ازایِ اهداییهایِ Bitcoin حسابهایِ کاربریِ بیشتری را منتشر کنند. آنها ادعا میکنند که بالغ بر ۶٫۹ میلیون آدرسِ ایمیل و رمزِ عبور که متعلق به کاربرانِ Dropbox است را در دست دارند.
Dropbox در یک اظهاریه هک شدنِ خود را تکذیب کرد:
Dropbox هک نشده است. متاسفانه این نامهایِ کاربری و رمزهایِ عبور از سرویسهایِ دیگری دزدیده شدهاند و از آنها برایِ ورود به حسابهایِ کاربریِ Dropbox استفاده شده است. ما قبلاً متوجهِ این حملات شده بودیم، اکثریتِ این رمزهایِ عبورِ منتشر شده پیشتر باطل شدهاند. باقیِ رمزهایِ عبور نیز به همین شکل باطل شدهاند.
این بدان معنی است که Dropbox تمامِ ۴۰۰ حسابِ کاربریِ منتشر شده تا کنون را باطل کرده است. اما معلوم نیست که آیا ۷ میلیون حسابِ کاربریِ دیگری که هکرها مدعیِ در دست داشتنشان هستند امن هستند یا نه. یکی از سخنگویانِ Dropbox به Business Insiderگفته است: Dropbox به صورتِ مداوم حسابهایِ کاربریای که موردِ حمله قرار دارند را باطل میکند، اما نمیتواند تعدادِ حسابهایی که اخیراً باطل شدهاند را اعلام کند. این بدین معنی است که احتمالاً هنوز ۷ میلیون حسابِ Dropbox دیگر آسیبپذیرند.
این جوابیه مشابهِ جوابیهای است که Snapchat بهنگامی اعلام داشت که هکرها توانستند ۱۰۰۰۰۰ عکس را از طریقِ یک نرمافزارِ شخصِ ثالث از این سرویس بدزند. Snapchat مدعی بود که سرورهایش هک نشده بودند و تنها نرمافزار سرورهایِ شخصِ ثالثی که بمنظورِ ذخیرهی عکسها طراحی شده بودند هک شده بودند.
مشکلِ اساسی در هر دو مورد در شیوهای است که سرویسهایِ پرطرفدار امکانِ ورود به سایت را برایِ کاربرانش فراهم میکنند. هرچند سرورهایِ خودِ Dropbox هک نشدهاند اما هنوز این سرویس امکانِ دسترسی به سرورها را از طریقِ نرمافزارهایِ شخصِ ثالث در خود دارد. همچنین هکرها میتوانند سایتهایِ دیگر را هک کرده و اطلاعاتِ به سرقت رفته را در سرویسهایی چون Dropbox به کار برند، چرا که بسیاری افراد در سرویسهایِ گوناگون از نامِ کاربری و رمزهایِ عبورِ مشابهی استفاده میکنند. با فرضِ اینکه هکرها اطلاعاتِ ورود به ۷ میلیون حسابِ Dropbox را در دست دارند این مساله روشن نیست که آنها چکونه این اطلاعات را از یک سرویسِ شخصِ ثالث گرفته و درDropbox استفاده کردهاند. سخنگویِ Dropbox نیز در تشریحِ این مساله ناتوان بود.
این روندی نگرانکننده است. در پیِ این حملات سرویسهایی چون Dropbpx، Snapchat و Apple تقصیر را به گردنِ کاربران و سایرِ واسطهها انداختهاند، در حالیکه خودِ این سرویسها به نرمافزارهایی که به پلتفرمهایشان دسترسی دارند توجهِ کافی ندارند یا اینکه این ضمانت را به کاربران نمیدهند که در صورتِ به خطر افتادنِ اطلاعاتشان ارتباطشان با سیستم باطل نخواهد شد.