8月31日,知名網絡存儲及共享公司 Dropbox 發布消息,證實該網站在2012年遭黑客入侵,超過6800萬個用戶資料被盜,這比2014年10月時報導的690萬多出近10倍。Dropbox 已在8月26日主動發布預防措施,要求受影響用戶更新密碼。
Vice 旗下網絡雜誌 Motherboard 於8月30日率先報導了這起事件,稱其在數據庫交易社區獲得總計5GB大小的檔案,內中含有 Dropbox 用戶的電子郵件地址和經過雜湊(Hash)處理的密碼。這些文件大小總計在5GB左右,涉及68680741個帳戶的詳細信息。
Motherboard 隨後證實了部分帳戶的真實性。不過 Dropbox 安全部門主管 Patrick Heim 聲稱:「這不是新的信息安全事故,沒有證據表明 Dropbox 用戶的帳號遭到不當訪問。」
此外,如果你不確定自己的帳戶信息是否已經泄漏,可以通過這個網站查詢。
我們可以確認,上週進行的密碼重置已涵蓋所有受影響的用戶。即使密碼被破解,在重置後這些密碼也無法用於訪問Dropbox帳號。
Motherboard 報導也指出,曝光的6800多萬帳戶資料中,將近3200萬密碼以強雜湊函數 Bcrypt 加密,這意味着它是幾乎是不可能被破解的,所以黑客無法獲得這些用戶的真實密碼;其餘的用戶資料則採用較過時的 SHA-1 雜湊,但它們也都經過進一步的「加料」處理,也就是說將隨機字符串添加到密碼雜湊處理中,降低了被破解的機率。而自從2012年以來,為了保護密碼安全,Dropbox 已經數次更改其密碼雜湊算法。
發生於2012年的 Dropbox 用戶資料外泄事件最早曝光於2014年10月,當時一名黑客宣稱,他取得693萬名 Dropbox 用戶的帳號與密碼,並公布了部分資料作為證據。Dropbox 當時否認網站遭到入侵,聲稱相關數據泄露是由第三方服務導致。
2016年網絡世界用戶數據外泄事件頻發,光是上半年就有 LinkedIn、MySpace、Tumblr 及雅虎等網站傳出數年前的舊數據在黑客之間交易流傳,進而在網絡黑市被違規出售的消息。上個月甚至還有黑客網絡拍賣所竊美國政府數據。這些事件證明,即使是擁有強大技術能力的高科技公司與國家政權,也時刻面臨網絡黑客的窺探與攻擊風險,保存在這些公司與政府組織的個人信息安全堪憂。
另外,環球銀行金融電訊協會(SWIFT)近日也向客戶發出警告,聲稱銀行系統已成為黑客的重要攻擊目標,還敦促所有成員銀行及監管機構盡快更新系統,以修補安全漏洞。
聲音
根據我們監測威脅和保護密碼的方式判斷,我們相信未有帳戶遭到不當存取。不過為了安全起見,我們還是要求所有 2012 年中之後就未曾更新的使用者,在下次登入時重設密碼。
保護一個帳戶有時是麻煩的,但通常是值得這麼麻煩的。