8月31日,知名网络存储及共享公司 Dropbox 发布消息,证实该网站在2012年遭黑客入侵,超过6800万个用户资料被盗,这比2014年10月时报导的690万多出近10倍。Dropbox 已在8月26日主动发布预防措施,要求受影响用户更新密码。
Vice 旗下网络杂志 Motherboard 于8月30日率先报导了这起事件,称其在数据库交易社区获得总计5GB大小的档案,内中含有 Dropbox 用户的电子邮件地址和经过散列(Hash)处理的密码。这些文件大小总计在5GB左右,涉及68680741个帐户的详细信息。
Motherboard 随后证实了部分帐户的真实性。不过 Dropbox 安全部门主管 Patrick Heim 声称:“这不是新的信息安全事故,没有证据表明 Dropbox 用户的帐号遭到不当访问。”
此外,如果你不确定自己的帐户信息是否已经泄漏,可以通过这个网站查询。
我们可以确认,上周进行的密码重置已涵盖所有受影响的用户。即使密码被破解,在重置后这些密码也无法用于访问Dropbox帐号。
Motherboard 报导也指出,曝光的6800多万帐户资料中,将近3200万密码以强散列函数 Bcrypt 加密,这意味着它是几乎是不可能被破解的,所以黑客无法获得这些用户的真实密码;其余的用户资料则采用较过时的 SHA-1 散列,但它们也都经过进一步的“加料”处理,也就是说将随机字符串添加到密码散列处理中,降低了被破解的机率。而自从2012年以来,为了保护密码安全,Dropbox 已经数次更改其密码散列算法。
发生于2012年的 Dropbox 用户资料外泄事件最早曝光于2014年10月,当时一名黑客宣称,他取得693万名 Dropbox 用户的帐号与密码,并公布了部分资料作为证据。Dropbox 当时否认网站遭到入侵,声称相关数据泄露是由第三方服务导致。
2016年网络世界用户数据外泄事件频发,光是上半年就有 LinkedIn、MySpace、Tumblr 及雅虎等网站传出数年前的旧数据在黑客之间交易流传,进而在网络黑市被违规出售的消息。上个月甚至还有黑客网络拍卖所窃美国政府数据。这些事件证明,即使是拥有强大技术能力的高科技公司与国家政权,也时刻面临网络黑客的窥探与攻击风险,保存在这些公司与政府组织的个人信息安全堪忧。
另外,环球银行金融电讯协会(SWIFT)近日也向客户发出警告,声称银行系统已成为黑客的重要攻击目标,还敦促所有成员银行及监管机构尽快更新系统,以修补安全漏洞。
声音
根据我们监测威胁和保护密码的方式判断,我们相信未有帐户遭到不当存取。不过为了安全起见,我们还是要求所有 2012 年中之后就未曾更新的使用者,在下次登入时重设密码。
保护一个帐户有时是麻烦的,但通常是值得的这么麻烦的。