В результате взлома сервиса облачного хранения Dropbox, произошедшего ещё в 2012 году, в руки атакующих попала информация об учётных записях более 68 млн пользователей сервиса, включая их email-адреса и хэши паролей. Полученные в результате атаки данные во вторник были выставлены на продажу и теперь доступны для проверки на сайте haveibeenpwned.com. Общий размер базы составил 5 Гб.

Для хэширования паролей 32 млн аккаунтов применялась защищённая функция bcrypt, для остальных учётных записей сохранялся обычный хэш SHA-1 с солью. При этом в опубликованных файлах хэши bcrypt приведены с солью, а для хэшей SHA-1 соль вырезана, что делает невозможным подбор.

На прошлой неделе Dropbox объявил об инициировании процесса смены старых паролей пользователей, не уточняя, в чём причина такой рекомендации. После того как в СМИ попала информация об утечке, представители Dropbox признали факт взлома, но заверили, что никаких следов неавторизованного входа в аккаунты пользователей не зафиксировано. Также утверждается, что утечка произошла достаточно давно и в БД находятся параметры учётных записей по состоянию на середину 2012 года.