Wat moet je doen als je Dropbox account is gehacked?
Rond 26 augustus 2016 hebben sommige Dropbox gebruikers een mail gekregen waarin werd aangegeven dat ze hun wachtwoord moeten aanpassen. Volgens Dropbox was er geen directe aanleiding voor; de mail werd verzonden naar alle gebruikers die hun wachtwoord sinds 2012 niet aangepast hebben.
Een kleine week later, op 31 augustus, kwam echter de aap uit de mouw: er zijn in 2012 wel degelijk accountgegevens gehacked bij Dropbox. Ongeveer 69 miljoen! De gelekte gegevens bevatten zowel de e-mail adressen als de wachtwoorden van de Dropbox gebruikers.
De wachtwoorden zijn niet 1-op-1 leesbaar, maar met behulp van een wiskundige bewerking (een hash) ‘onleesbaar’ gemaakt. Zo’n hash is eenrichtingsverkeer. Vanuit deze hash is het in principe niet mogelijk om het wachtwoord te herleiden. In principe…
De helft van de wachtwoorden zijn met behulp van een SHA-1 functie gehashed. Hoe ziet zo’n hash er eigenlijk uit? Hieronder staan een aantal voorbeelden van makkelijke wachtwoorden met de bijbehorende hash:
W@chtwoord wordt bewaard als a47a223bc1b0b26f26115cd7be38ac251a2568a3
Gehe1m wordt bewaard als 041f64c582b0bfb13871709564692f65cd577a44
123456 wordt bewaard als 7c4a8d09ca3762af61e59520943dc26494f8941b
Vanuit de hash is het onmogelijk om met behulp van een berekening het wachtwoord te achterhalen. Het is natuurlijk wel mogelijk om een lijst te maken met alle veelgebruikte wachtwoorden en de bijbehorende hashes. Er zijn online voldoende websites te vinden die een reverse-sha1 hash-functie aanbieden. Alle drie de bovengenoemde hashes staan er overigens in!
Om zo’n aanval tegen te gaan wordt (als het goed is) een ‘salt‘ toegevoegd aan het wachtwoord. Wanneer je “Gehe1m” ingeeft als wachtwoord zal de hash bijvoorbeeld berekend worden over “Gehe1m_3jk#adsf^f“. Het dikgedrukte gedeelte is dan de toegevoegde salt. Hierdoor is het voor een aanvaller lastiger de hashes om te zetten naar bruikbare wachtwoorden. Alle buitgemaakte wachtwoorden bij de Dropbox aanval waren voorzien van een salt.
Zijn mijn gegevens gehacked?
Door je e-mail adres in te geven krijg je te zien of je gegevens ooit gelekt zijn, bijvoorbeeld bij het grote LinkedIn lek, of het recente Dropbox lek.
Wat te doen als mijn gegevens zijn gehacked?
Als je gegevens zijn buitgemaakt zorg er dan voor dat de schade beperkt blijft:
- Pas het wachtwoord direct aan
- Ga na of je het wachtwoord op andere sites gebruikt hebt, en pas het daar ook aan
- Bij sommige websites is na te gaan vanaf welke locatie en met welk apparaat is ingelogd. Ga na of je hier geen verdachte activiteit ziet, bijvoorbeeld ingelogde apparaten die je niet herkend.