Dropbox 本周早些時候披露,2012 年泄露的一大批用戶賬號密碼流出至暗網(wǎng)絡網(wǎng)站。不過,受影響的賬號數(shù)量或許要遠遠高于我們最初的預期。
Motherboard 網(wǎng)站最初報道稱,Dropbox 的 超過 6000 萬帳號信息泄露 ,而 TechCrunch 的信源也證實了這一消息。泄露的密碼來自于 2012 年 Dropbox 的一次信息安全事故。Dropbox 當時表示,丟失的數(shù)據(jù)只有用戶的電子郵件。
以下是 2012 年 Dropbox 官方博客中的解釋 :
丟失的密碼被用于訪問 Dropbox 的員工賬號,其中包括帶用戶電子郵件地址的項目文件。我們認為,這一非法訪問導致了垃圾郵件的出現(xiàn)。我們對此感到抱歉,并采取了額外的控制措施,確保這種事故不會再次發(fā)生。
Dropbox 于 2012 年披露,一名員工的帳號被非法獲得,用于訪問了包含電子郵件地址的文件。不過 Dropbox 并未提到,用戶的密碼也被泄露。由于 Dropbox 以加密形式保存用戶的密碼,因此從技術上來說,Dropbox 的解釋也沒有問題。黑客只是獲得了保存 Dropbox 用戶密碼的加密文件,無法對其進行解密。不過目前看來,Dropbox 實際上丟失了更多信息。而奇怪的是,該公司過了如此長的時間才披露這一信息。
根據(jù) Dropbox 一名消息人士的說法,除了 2012 年披露的用戶電子郵件之外,與電子郵件相關的許多加密密碼也已泄露。在發(fā)生數(shù)據(jù)泄露事故時,Dropbox 放棄了此前使用的 SHA-1 加密算法,即當時的標準算法,同時改用一種更強的加密標準 bcrypt。根據(jù) Motherboard 的報告,某些泄露的密碼采用了 SHA-1 技術來加密,而 3200 萬密碼采用了 bcrypt 來加密。此外,這些密碼也采用了 salt 技術,利用隨機數(shù)據(jù)串去強化加密效果。即使密碼被泄露在網(wǎng)上,但這些加密機制并未被破解。
在 2012 年接受《福布斯》雜志采訪時,Dropbox CEO 德魯·休斯頓(Drew Houston)表示,Dropbox 已經吸引了約 1 億用戶,較一年前上升了一倍。近期,Dropbox 又宣布,注冊用戶數(shù)已突破 5 億,但沒有透露月活躍用戶數(shù)據(jù)。如果在黑客事故發(fā)生時 Dropbox 有約 1 億用戶,那么相當于有 3/5 的用戶密碼泄露。
消息人士表示,黑客通過攻擊 LinkedIn 獲得了 Dropbox 員工的賬號密碼,并使用這一賬號密碼訪問了 Dropbox 的企業(yè)網(wǎng),從而獲取了用戶密碼。因此,問題并不完全出在 Dropbox 方面。不過,這仍然違反了 Dropbox 內部的信息安全標準,并標明員工重復使用同一賬號密碼的問題已經影響了企業(yè)環(huán)境。
編譯:維金
Dropbox employee’s password reuse led to theft of 60M+ user credentials