Dropbox informa que los recientes ataques de spam que afectaron a algunos clientes europeos se produjeron cuando los hackers utilizaban contraseñas obtenidas a partir de sitios externos para acceder a algunas cuentas de Dropbox. La compañía prometió una nueva opción de dos factores de autenticación y ofrecen otros consejos.

El lunes por la noche, Dropbox reconoció que los envíos de spam afectaban a los usuarios desde unas semanas cuando los piratas informáticos utilizaban contraseñas obtenidas a partir de sitios terceros para acceder a «un pequeño número» de cuentas de usuario de Dropbox. La empresa llamó a expertos externos para ayudar a sus profesionales de seguridad y esto es lo que descubrieron, de acuerdo con el blog de Dropbox.

Nuestra investigación encontró que los nombres de usuario y contraseñas recientemente robadas desde otros sitios web se utilizaron para acceder a un número reducido de Dropbox accounts. Hemos contactado a estos usuarios y les hemos ayudado a proteger sus cuentas.

Una contraseña robada también fue utilizada para acceder a una cuenta de un empleado de Dropbox conteniendo un documento del proyecto con las direcciones de correo electrónico del usuario. Creemos que esta infraccion o acceso indebido es lo que condujo al spam. Lo sentimos, y hemos implantado controles adicionales para asegurarnos de que esto no vuelva a ocurrir.

También dijo que comenzaría a ofrecer una opción de autenticación de dos factores en unas pocas semanas y está proporcionando una nueva página web para que los titulares de las cuentas de Dropbox chequeen los accesos a su cuenta.

La compañía también recomienda que los usuarios creen una nueva contraseña -y única- en todas sus cuentas – para ayudar a reforzar la seguridad.

El mensaje fue recibido con escepticismo y enojo por parte de algunos comentaristas. Para empezar, uno quería simplemente saber por qué un empleado de Dropbox tenía las direcciones de correo electrónico del usuario. Otros dijeron que no hay evidencia de que las contraseñas antiguas sean inseguras y otros, señalaron que siempre usan contraseñas únicas.

Como señala TechCrunch, la situación recuerda a la cuestión de la seguridad de LinkedIn de junio.

Esto es sólo la última prueba de que los servicios en la nube no son inmunes a la seguridad – y otras meteduras de pata que afectan a cualquier otra tecnología. Pero es una llamada de atención de mala educación a los consumidores que aman la oferta fácil de usar.

VÍA: GIGAOM