Help, gehackt op Dropbox

Help! Ik ben dus gehackt op Dropbox. Ik kom er net achter. Ik snap niet hoe dit kan.
Al mijn bestanden weg, mijn taal is ingesteld op Russisch en ik heb ranzige foto's in een mapje zitten met 'Eat Dick Bitch'.
Een van de foto's daarin staat een Nederlands onderschrift.

Ik snap niet hoe dit kan. Ik heb namelijk een Three-factor auth ingesteld via Authy op mijn smartphone, anders kan je niet inloggen! Ik ben nu zoveel belangrijke bestanden kwijt en erger nog; ik weet niet wie er mee aan de haal is gegaan.

Dropbox is wel geinstalleerd op mijn bureaublad en op mijn werk PC. Mijn wachtwoord is niet veranderd.

Heeft iemand enig idee hoe dit kon gebeuren en belangrijk: kan ik een back-up via Dropbox terugzetten?

Alvast bedankt!

vj_slof schreef op woensdag 18 april 2018 @ 18:28:
staat je werk-pc op je werk? dan heb je misschien last van een vervelende collega.

Ja, mijn werk-pc is een vaste PC in mijn kantoor. De Dropbox-app is geïnstalleerd op de vaste PC in mijn account. Daar zit mijn manager, coördinator en een goede collega. Die zouden dit nooit doen. Ik sluit mijn PC altijd helemaal af als ik naar huis ga.
Het is overigens gisteren gebeurd om 17:48. Toen was ik zelf thuis. Dus het kan niet hier zijn geweest.

MAX3400 schreef op woensdag 18 april 2018 @ 18:30:
https://www.dropbox.com/n...ver-deleted-files-folders

Dat gezegd; als je geeeeen idee hebt hoe men erin is gekomen, zou ik niet zomaar gaan restoren. Blijkbaar is er iets met jouw account aan de hand waardoor alle security-measures omzeild zijn.

Dit moet haast in jouw directe omgeving zijn, zeker omdat je smartphone dus "ook" uitgelezen is.

Zoals @vj_slof aangeeft, als je nog ingelogd was, kan iemand je sessie overpakken en wordt je 3-way auth omzeild.

Ik ga dus naar 'Verwijderde bestanden' en hij geeft gewoon doodleuk aan dat er geen verwijderde bestanden zijn.

Bedankt voor de reacties.
De code van mijn Authy (3F) is niet hetzelfde als mijn Dropbox account. Bewust gedaan! Dit lijkt mij onwaarschijnlijk.

Wat ik denk dat er is gebeurd. Iemand heeft mijn bestanden verwijderd of een grap uitgehaald via de Dropbox-app welke is gekoppeld aan een PC. In mijn geval is dat bij 2 PC's. Mijn werk-pc in mijn kantoor of mijn PC thuis. Als het thuis is gebeurd, moet er zijn ingebroken. Dit sluit ik uit.
Dus het moet op mijn werk zijn gebeurd. Er is geen andere mogelijkheid.

Het moet op mijn werk gebeurd zijn. Dus een collega. Hopelijk een kut grap. Doordat de Dropbox app is gekoppeld aan je PC, hoef je geen auth te doen via de app. Je kan gewoon in de map via Windows Verkenner.

Ik zie twee sessies actief in de vorm van apparaten. Mijn thuis PC, nu actief. En mijn werk PC. Er zijn geen andere sessies, tenzij 'de hacker' de sessie heeft verwijderd.

Afgelopen maandag moest ik in de middag haastig weg omdat er een afspraak kwam. Ik ben toen denk ik vergeten mijn PC af te sluiten. En ik ben niet meer teruggekomen. Dit moet het moment zijn geweest gok ik.

Ik heb net mijn collega gebeld. Die zegt dat hij van niks weet maar dat de taal en foto's wel lijken op een grap van een stagiaire die we hebben rondlopen. We gaan morgen de elektronische sloten uitlezen van het kantoor en camera's terugkijken. Tevens zal ik ICT Werkplekbeheer vragen of ze activiteit op mijn PC kunnen waarnemen.

Achteraf heel dom om Dropbox prive te koppelen op een werk PC. Dit is een wijze les.

vj_slof schreef op woensdag 18 april 2018 @ 19:03:
kijk eens onder dropbox.com/events
Misschien valt er iets op?

Hier klopt zo weinig van. Als ik op 16-4 kijk (maandag). Zijn alle bestanden verwijderd maar het geeft een notatie aan van 24/11/2017 21:14 achter de documentnamen.
Als ik dan kijk op 17-4 (gisteren) dan zijn al die vunzige foto's toegevoegd op een notatie van Gisteren 02:37. Daarnaast stond mijn account op Russisch.

Maar een van die foto's is wel met Nederlands onderschrift. Bijv. een foto van een meisje met een bril met de tekst 'Mijn naam is Jill, ik wil je zaad op m'n bril'. Wel toevallig?

Ik werk in de non-profit en ik heb nooit iets moeten tekenen qua gebruik van ICT-middelen. Ik ben niet zo bang voor een officiële waarschuwing. Ik wil gewoon weten wie dit heeft gedaan (als dat kan) en waar mijn documenten zijn.

Het enige rare is dat de foto's zijn toegevoegd om 'Gisteren 02:37' via 'Web'. Mijn werk sluit rond 21.00 en ik lag thuis te slapen. Dat zou betekenen dat het juist niet is gebeurd op mijn werk PC.

[ Voor 9% gewijzigd door Cheezborger op 18-04-2018 19:30 ]

Ik heb overigens mijn smartphone en privé PC laten scannen. Er zijn geen risico's ontdekt.

[ Voor 3% gewijzigd door Cheezborger op 18-04-2018 19:57 ]

HKLM_ schreef op woensdag 18 april 2018 @ 20:08:
Waarom heb je je systeem niet gelocked toen je weg ging? Je systeem open achterlaten is natuurlijk gewoon dom. Tevens als het niet hebben van een backup van je dropbox.

Goh.. No shit sherlock.

Anoniem: 37691 schreef op woensdag 18 april 2018 @ 20:12:
[...]

Je mag altijd prive-gebruik maken van werk materiaal. Bijvoorbeeld een kopieermachine, scanner, printer, etc. Ook is prive-gebruik van computers niet te verbieden (al kan het zijn dat bepaalde computers alleen op netwerk kunnen, en niet naar internet).


[...]

En had je de PC gelockt?


[...]

En je thuis-PC?


[...]

Stond je thuis-PC aan? En je werk PC? Als ze beide uit stonden dan is mogelijk je session gekaapt.

Ik zou zeker aan DropBox vragen of ze kunnen zien vanaf welk IP dat gebeurd is (ze mogen hem niet geven ivm privacy). Je zou je thuis en werk IP aan ze kunnen doorgeven, en vragen of het vanaf een ander adres komt. Die vraag lijkt me juridisch legaal met ja/nee te beantwoorden.


[...]

Of je werk-PC was gehackt en de session gestolen toen hij aan stond?


[...]

Als de IT-ers (of stagiaire) daar iets mee van doen hebben zijn ze mogelijk strafbaar bezig, maar ik zou dat niet in de mond nemen! Dat zou een eerlijke verklaring kunnen belemmeren (en dus de rechtsgang, als nodig).

Het zou ook kunnen dat je werk-PC (of complete Windows domain) gehackt is. One ring to rule them all?!


Dan daarbij: Online (as in power on) storage is geen backup. Ik heb een aantal disks voor (encrypted) offline backup's. Ik overleef een Cloud crash / removal, maar het kost wel wat tijd om te restoren i.v.m. beperkte upload.

Om een aantal antwoorden te geven:

En had je de PC gelockt?
In principe sluit ik de werk-PC altijd gewoon helemaal af als ik naar huis ga. Als ik tussentijds even weg ga dan lock ik mijn PC niet altijd (slechte gewoonte). Maar ik zit met 3 man op kantoor die allemaal boven mij staan in functie; ik vertrouw ze.

Als ik in de event history kijk van Dropbox, is de informatie echt helemaal niet juist. Er is nergens te zien wanneer wat verwijderd is. Alleen dat gisterennacht om 02:37 foto's zijn toegevoegd welke al waren aangemaakt om 17:42.

En je thuis-PC?
Mijn thuis-PC en smartphone waren 'veilig' verklaard door ESET en AVG. Mijn werk-PC heb ik nog niet gecontroleerd. Ik moet dat morgen meteen doen.

Stond je thuis-PC aan? En je werk PC? Als ze beide uit stonden dan is mogelijk je session gekaapt.
Mijn thuis-PC gaat altijd uit als ik ga slapen. Mijn werk-PC sluit ik altijd af als ik naar huis ga rond ~16.00. Het kan zijn dat ik het soms eens vergeet. Maar het is een redelijke routine als je naar huis gaat.

Ik heb Dropbox al een mail gestuurd om meer informatie en een rollback van mijn gegevens (aangezien ik niet mijn verwijderde bestanden kan terughalen).
Daarnaast zal ik de stagiaire vragen of hij het als grapje heeft gedaan. Ik hoop van wel, maar ik kan het me gewoon niet voorstellen. Dit soort dingen zijn niet grappig.

Itrme schreef op woensdag 18 april 2018 @ 20:13:
[...]


Dus.... als ik het goed begrijp heb je ingelogd met dropbox op een PC met accounts die niet afgeschermd zijn?.... Geen bitlocker etc? lokale profielen?

Ik ben niet zo thuis in de ICT terminologie. Maar ik kan met mijn werk e-mailadres (account) gewoon op elke vestiging van mijn werk inloggen op elke random werk-PC. Op mijn vaste werk-PC heb ik dan ook Dropbox geïnstalleerd. Dus als ik inlog op een andere PC dan mijn eigen in mijn kantoor, dan heb ik geen Dropbox erop staan.

Het is toch niet zo dat iedereen die op mijn werk-PC op mijn bureau inlogt met zijn eigen account (en dus op zijn eigen bureaublad en omgeving terecht komt), mijn Dropbox kan gebruiken omdat ik het op de PC heb geïnstalleerd? Dan weet ik genoeg..

Update;
Dit zou niet kunnen. Tevens zijn Dropbox instellingen aangepast. Dit kan alleen in de browser in 'Mijn account'. Dus mijn sessie moet wel gekaapt zijn (wellicht op mijn werk-pc) terwijl ik vergeten ben geweest mijn werk-pc uit te loggen of te locken.
Ik laat het even rusten. Ik hoop dat alles goed komt morgen.

[ Voor 17% gewijzigd door Cheezborger op 18-04-2018 20:55 ]

Anoniem: 37691 schreef op woensdag 18 april 2018 @ 21:51:
[...]

Was je op je thuis-/werk-PC ingelogged op de webinterface? Of alleen de dropbox-app?

Session hijacking is mogelijk door onbekende/nieuwe spyware. Of iemand met fysieke toegang tot de computer(s), al dan niet via Windows domain.

Hoe veilig is het Windows netwerk van je werkgever? Hoeveel characters heeft het wachtwoord van domain 'administrator' user? En iedere andere gebruiker met domain admin rechten?
Of is er geen Windows domain (wat ook mogelijk is, en in sommige aspecten veiliger: mits iedereen handmatig updates uitvoert)?

Er hoeft maar 1 gebruiker met admin-rechten een foutje te maken, en een virus/thing kan het hele Windows netwerk afzoeken naar Dropbox session files...
^{Ik verplicht Windows admins om 2 gebruikers te gebruiken: myusername en myusername-admin. En ook dat heeft risico's.}

Ik probeer morgen het eea uit te zoeken. Heel erg bedankt voor je hulp.

Weet je wat raar was? Vanochtend toen ik begon met werken, mijn Outlook stond op offline modus. Ik dacht dat er een storing was en snapte er niks van. Ik belde de servicedesk.

Hij keek mee op afstand en kwam erachter dat de knop 'offline werken' ingeschakeld stond. Ik dacht dat ik iets doms had gedaan maar dit is wel heel toevallig niet? Ik heb zo'n functie nog nooit in mijn leven gebruikt.

Ik begin nu al meer te denken dat dit een collega moet zijn geweest.

Lizard schreef op woensdag 18 april 2018 @ 22:27:
Via https://www.dropbox.com/account/security kan je zien welke computers en apps toegang hebben tot je account

Dat zijn er twee. Mijn thuis-pc en werk-pc.

sypie schreef op woensdag 18 april 2018 @ 22:35:
[...]
Dit. Ik kan gewoon pissig worden dat mensen hun backup niet voor elkaar hebben en bij iets zoals TS lopen te huilen. Het is zeker niet persoonlijk naar TS maar ik zie dit veel te vaak.

Als bestanden belangrijk voor je zijn dan zorg je voor een backup. Simpel. Makkelijk. Duidelijk.

Als bestanden weg zijn en er is geen backup gemaakt dan was het niet belangrijk genoeg. Lijkt me ook duidelijk.

Dus zorg voor een backup. Laat dit niet nog een keer gebeuren en zorg dat je hoe dan ook dit regelt. Dropbox is GEEN backup-systeem. Het is een synchronisatie-systeem wat er voor zorgt dat overal hetzelfde staat waar je ingelogd bent.

Je hebt helemaal gelijk. Helaas/gelukkig lijkt het dat het toch een buitenstaander is geweest, niet een collega.

Ik heb wel geluk. Er was nog een verborgen map op mijn werk-pc met de extensie: .dropbox-cache. Alle verwijderde documenten van 17-4 stonden daar nog braaf in! Ik heb dus gewoon een volledige back-up gevonden. Uiteraard ben ik hier intens blij mee!
Ik heb alle gekoppelde sessies in Dropbox verwijderd. Vanaf nu gebruik ik Dropbox enkel in de browser waarbij je 2F moet gebruiken. Daarnaast ga ik alle wachtwoorden veranderen.

Dit was een zeer wijze les. Dropbox is geen back-up programma. In ieder geval heel erg bedankt voor alle hulp. Ik kan wel zeggen dat ik gisteren erg in paniek was.