即時

Dropbox終於承認6800萬用戶資料外洩,你中招了嗎?


逾六千萬Dropbox用戶的資料可能被盜。圖為Dropbox的手機應用程式。
Dropbox是全球應用最廣的雲儲存服務,最新的一次估值達到10億美元。端傳媒攝影部/設計圖片

8月31日,知名網絡存儲及共享公司 Dropbox 發布消息,證實該網站在2012年遭黑客入侵,超過6800萬個用戶資料被盜,這比2014年10月時報導的690萬多出近10倍。Dropbox 已在8月26日主動發布預防措施,要求受影響用戶更新密碼。

Vice 旗下網絡雜誌 Motherboard 於8月30日率先報導了這起事件,稱其在數據庫交易社區獲得總計5GB大小的檔案,內中含有 Dropbox 用戶的電子郵件地址和經過雜湊(Hash)處理的密碼。這些文件大小總計在5GB左右,涉及68680741個帳戶的詳細信息。

Motherboard 隨後證實了部分帳戶的真實性。不過 Dropbox 安全部門主管 Patrick Heim 聲稱:「這不是新的信息安全事故,沒有證據表明 Dropbox 用戶的帳號遭到不當訪問。」

此外,如果你不確定自己的帳戶信息是否已經泄漏,可以通過這個網站查詢

我們可以確認,上週進行的密碼重置已涵蓋所有受影響的用戶。即使密碼被破解,在重置後這些密碼也無法用於訪問Dropbox帳號。

Dropbox 安全部門主管 Patrick Heim

Motherboard 報導也指出,曝光的6800多萬帳戶資料中,將近3200萬密碼以強雜湊函數 Bcrypt 加密,這意味着它是幾乎是不可能被破解的,所以黑客無法獲得這些用戶的真實密碼;其餘的用戶資料則採用較過時的 SHA-1 雜湊,但它們也都經過進一步的「加料」處理,也就是說將隨機字符串添加到密碼雜湊處理中,降低了被破解的機率。而自從2012年以來,為了保護密碼安全,Dropbox 已經數次更改其密碼雜湊算法。

發生於2012年的 Dropbox 用戶資料外泄事件最早曝光於2014年10月,當時一名黑客宣稱,他取得693萬名 Dropbox 用戶的帳號與密碼,並公布了部分資料作為證據。Dropbox 當時否認網站遭到入侵,聲稱相關數據泄露是由第三方服務導致。

2016年網絡世界用戶數據外泄事件頻發,光是上半年就有 LinkedIn、MySpace、Tumblr 及雅虎等網站傳出數年前的舊數據在黑客之間交易流傳,進而在網絡黑市被違規出售的消息。上個月甚至還有黑客網絡拍賣所竊美國政府數據。這些事件證明,即使是擁有強大技術能力的高科技公司與國家政權,也時刻面臨網絡黑客的窺探與攻擊風險,保存在這些公司與政府組織的個人信息安全堪憂。

另外,環球銀行金融電訊協會(SWIFT)近日也向客戶發出警告,聲稱銀行系統已成為黑客的重要攻擊目標,還敦促所有成員銀行及監管機構盡快更新系統,以修補安全漏洞。

5
2016年3 月 8 日,Dropbox 宣布公司總用戶數正式突破5億,並聲稱其成長力仍然持續增強。

聲音

根據我們監測威脅和保護密碼的方式判斷,我們相信未有帳戶遭到不當存取。不過為了安全起見,我們還是要求所有 2012 年中之後就未曾更新的使用者,在下次登入時重設密碼。

Dropbox公司網站公告

保護一個帳戶有時是麻煩的,但通常是值得這麼麻煩的。

Quartz科技記者Joon Ian Wong

雜湊

雜湊(Hash)是計算機科學中一種對資料的處理方法,通過某種特定的函數/算法將要檢索的項與用來檢索的索引關聯起來,生成一種便於搜索的資料結構(稱為雜湊表)。它也常用作一種資訊安全的實作方法,由一串資料中經過雜湊算法(Hashing algorithms)計算出來的資料指紋(data fingerprint),經常用來識別檔案與資料是否有被竄改,以保證檔案與資料確實是由原創者所提供。如今,雜湊算法也被用來加密存在資料庫中的密碼(password)字串,由於雜湊演算法所計算出來的雜湊值(Hash Value)具有不可逆(無法逆向演算回原本的數值)的性質,因此可有效的保護密碼。(資料來自維基百科)

來源:Motherboard今日美國Dropbox

2017 年 7 月,端傳媒啟動了對深度內容付費的會員機制。在此之前刊發的深度原創報導,都會免費開放,也期待你付費支持我們