Американский популярный облачный сервис Dropbox сегодня официально признал крашу 68 миллионов логинов и паролей к ним. Неприятность произошла еще в 2012 году, но тогда компания уверяла, что хакеры получили только логины, и что кроме спама пользователям ничего больше не грозит и за безопасность данных в хранилище переживать не стоит. На деле все оказалось значительно хуже. Отмечается, что пароли хранились в зашифрованном и «засоленном» виде.
Однако пользователи сервиса, зарегистрированные до инцидента, получили письма с просьбой ввести новый пароль вместо сброшенного старого (он обнулялся в случае, если не менялся с указанного года).
Dropbox рассказала, что взлом произошел по вине сотрудника компании, чей пароль использовался для доступа к системе. Часть похищенных паролей была зашифрована алгоритмом SHA-1, еще 32 миллиона — с помощью bcrypt плюс дополнительные средства шифрования. Теоретически взломать их нельзя.
