Em julho, usuários do Dropbox começaram a receber spam em contas de e-mail criadas exclusivamente para o serviço. Agora, a empresa admite que o problema foi causado por uma falha de segurança – mas o Dropbox não foi hackeado.

Sabe todos aqueles vazamentos de senha deste ano? Esse foi o começo do problema. Um post no blog oficial do Dropbox explica o que aconteceu:

Nossa investigação descobriu que nomes de usuário e senhas recentemente roubadas de outros sites foram usadas para acessar um pequeno número de contas do Dropbox…

Uma senha roubada também foi usada para acessar a conta de um funcionário do Dropbox, que guardava um documento de projeto com endereços de e-mail de usuários. Acreditamos que este acesso impróprio levou ao spam. Lamentamos o ocorrido, e colocamos controles adicionais para garantir que isso não aconteça de novo.

Apesar do Dropbox não ter sido hackeado, é alarmante saber que funcionários da empresa guardam listas não-criptografadas de e-mails na nuvem. Isso não inspira muita confiança.

Felizmente, isto fez o Dropbox intensificar as medidas de segurança. Nas próximas semanas, você verá autenticação opcional em dois passos – usando um código recebido por SMS, além da senha – assim como a opção de ver todos os logins ativos da sua conta.

Como o problema todo se originou de senhas vazadas, é sempre bom lembrar: use senhas diferentes para cada site, e gerencie todas com o 1Password ou o LastPass. [Dropbox via Verge]