Dropbox 信息安全事故导致 6000 万用户密码泄露

下一篇文章

苹果遭遇新诉讼:iPhone 6 设计缺陷致屏幕失灵

Dropbox 本周早些时候披露,2012 年泄露的一大批用户账号密码流出至暗网络网站。不过,受影响的账号数量或许要远远高于我们最初的预期。

Motherboard 网站最初报道称,Dropbox 的 超过 6000 万帐号信息泄露 ,而 TechCrunch 的信源也证实了这一消息。泄露的密码来自于 2012 年 Dropbox 的一次信息安全事故。Dropbox 当时表示,丢失的数据只有用户的电子邮件。

以下是 2012 年 Dropbox 官方博客中的解释

丢失的密码被用于访问 Dropbox 的员工账号,其中包括带用户电子邮件地址的项目文件。我们认为,这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉,并采取了额外的控制措施,确保这种事故不会再次发生。

Dropbox 于 2012 年披露,一名员工的帐号被非法获得,用于访问了包含电子邮件地址的文件。不过 Dropbox 并未提到,用户的密码也被泄露。由于 Dropbox 以加密形式保存用户的密码,因此从技术上来说,Dropbox 的解释也没有问题。黑客只是获得了保存 Dropbox 用户密码的加密文件,无法对其进行解密。不过目前看来,Dropbox 实际上丢失了更多信息。而奇怪的是,该公司过了如此长的时间才披露这一信息。

根据 Dropbox 一名消息人士的说法,除了 2012 年披露的用户电子邮件之外,与电子邮件相关的许多加密密码也已泄露。在发生数据泄露事故时,Dropbox 放弃了此前使用的 SHA-1 加密算法,即当时的标准算法,同时改用一种更强的加密标准 bcrypt。根据 Motherboard 的报告,某些泄露的密码采用了 SHA-1 技术来加密,而 3200 万密码采用了 bcrypt 来加密。此外,这些密码也采用了 salt 技术,利用随机数据串去强化加密效果。即使密码被泄露在网上,但这些加密机制并未被破解。

在 2012 年接受《福布斯》杂志采访时,Dropbox CEO 德鲁·休斯顿(Drew Houston)表示,Dropbox 已经吸引了约 1 亿用户,较一年前上升了一倍。近期,Dropbox 又宣布,注册用户数已突破 5 亿,但没有透露月活跃用户数据。如果在黑客事故发生时 Dropbox 有约 1 亿用户,那么相当于有 3/5 的用户密码泄露。

消息人士表示,黑客通过攻击 LinkedIn 获得了 Dropbox 员工的账号密码,并使用这一账号密码访问了 Dropbox 的企业网,从而获取了用户密码。因此,问题并不完全出在 Dropbox 方面。不过,这仍然违反了 Dropbox 内部的信息安全标准,并标明员工重复使用同一账号密码的问题已经影响了企业环境。

编译:维金

Dropbox employee’s password reuse led to theft of 60M+ user credentials

blog comments powered by Disqus