Pakar: Kebocoran Dropbox menyoroti bahaya keamanan kata sandi

Upaya peretas untuk menargetkan Dropbox minggu ini menggarisbawahi perlunya konsumen memperketat keamanan kata sandi mereka, seorang pakar keamanan siber memperingatkan, yang juga mendesak penyedia layanan cloud untuk lebih mengedukasi pelanggan mereka.

“Ini adalah tanggung jawab bersama – tanggung jawab penyedia layanan adalah untuk melindungi layanan, namun tanggung jawab pengguna adalah untuk melindungi kredensial mereka,” kata Tal Klein, wakil presiden senior di Palo Alto, spesialis keamanan cloud Adallom yang berbasis di California. . com pada hari Selasa. “Setiap kali Anda menaruh data di cloud, Anda perlu membuat ringkasan singkat tentang betapa berharganya data tersebut dan bagaimana data tersebut perlu dilindungi.”

Menyusul berita minggu lalu bahwa peretas memperoleh sejumlah besar gambar Snapchat, ratusan dugaan nama pengguna dan kata sandi untuk penyedia penyimpanan cloud Dropbox diposting di situs web Pastebin pada hari Senin. Dalam postingan tersebut, seorang pengguna Pastebin anonim mengklaim bahwa hampir tujuh juta akun Dropbox telah diretas dan menawarkan untuk menerbitkan lebih banyak akun dengan imbalan pembayaran Bitcoin. Postingan kedua berisi sekitar 100 dugaan nama pengguna dan kata sandi Dropbox muncul Senin malam.

Klaim tersebut memicu tanggapan dari insinyur keamanan Dropbox Anton Mityagin dalam sebuah posting blog di situs web perusahaan pada hari Senin. Dropbox, jelasnya, tidak diretas. “Barang-barangmu aman. Nama pengguna dan kata sandi yang dirujuk dalam artikel ini dicuri dari layanan yang tidak terkait, bukan Dropbox,” tulis Mityagin. “Penyerang kemudian menggunakan kredensial yang dicuri ini untuk mencoba masuk ke situs web di Internet, termasuk Dropbox.”

Mityagin menambahkan bahwa Dropbox mempunyai langkah-langkah untuk mendeteksi aktivitas login yang mencurigakan dan secara otomatis mengatur ulang kata sandi ketika itu terjadi. Dropbox juga sangat menganjurkan pengguna untuk tidak menggunakan kembali kata sandi di seluruh layanan, menurut teknisi tersebut. “Untuk lapisan keamanan ekstra, kami selalu menyarankan untuk mengaktifkan verifikasi dua langkah di akun Anda,” tambahnya.

Dalam postingan blog berikutnya pada Selasa pagi, Mityagin mengatakan daftar kedua yang diposting secara anonim di Pastebin tidak menyertakan nama pengguna dan kata sandi yang terkait dengan akun Dropbox.

Meskipun masih belum jelas dari mana peretas memperoleh nama pengguna dan kata sandi, Klein dari Adallom mengatakan bahwa brouhaha keamanan terbaru harus berfungsi sebagai peringatan keamanan kata sandi bagi konsumen.

Secara khusus, pengguna harus menghindari penggunaan kembali kata sandi. “Kita harus mulai memikirkan pengalaman kita di dunia maya sebagai hal yang sama dengan kehidupan nyata,” katanya kepada FoxNews.com. “Anda tidak akan menggunakan gembok dan kunci yang sama di rumah Anda seperti yang Anda gunakan di mobil Anda.”

Klein juga mendorong pengguna untuk menggunakan kata sandi yang “rumit”, yang juga dikenal sebagai kata sandi “kuat”.

Microsoft mendefinisikan kata sandi yang kuat setidaknya memiliki panjang delapan karakter dan berisi kombinasi huruf besar dan kecil, serta simbol dan angka. Kata sandi juga tidak boleh berisi kata-kata lengkap, menurut raksasa perangkat lunak tersebut, yang mendesak konsumen untuk menghindari nama pengguna, nama asli, dan nama perusahaan.

Manajemen kata sandi telah menjadi sorotan baru-baru ini, terutama setelah laporan berita pada bulan Agustus bahwa jaringan kejahatan Rusia telah mencuri 1,2 miliar kombinasi kata sandi dan nama pengguna.

Dengan latar belakang ini, Klein yakin bahwa penyedia layanan cloud seperti Dropbox memainkan peran besar dalam meningkatkan pengetahuan keamanan siber pelanggan mereka. Penyedia, katanya kepada FoxNews.com, harus hati-hati menjelaskan kata sandi yang rumit dan cara menggunakan otentikasi dua faktor.

Berbeda dengan serangan Dropbox, yang menargetkan layanan yang tidak terkait, kebocoran Snapchat melibatkan aplikasi pihak ketiga. Seperti Dropbox, Snapchat juga mengatakan servernya tidak diretas.

Roger Kay, presiden firma riset Endpoint Technologies yang berbasis di Wayland, Massachusetts, mengatakan kepada FoxNews.com pada hari Senin bahwa kebocoran Snapchat dapat menandakan bahwa beberapa peretas sedang mengubah strategi.

“Ini sebenarnya mengingatkan saya pada era peretasan sebelumnya ketika orang melakukannya demi ketenaran dan bukan keuntungan,” katanya. “Kebanyakan penipu sebenarnya hanya menginginkan nomor rekening bank.”

Ikuti James Rogers di Twitter @jamesjrogers