6,800 萬筆帳戶資料外洩,Dropbox 急發郵件提醒用戶更新密碼

作者 | 發布日期 2016 年 09 月 01 日 9:32 | 分類 網路 , 資訊安全 line share follow us in feedly line share
6,800 萬筆帳戶資料外洩,Dropbox 急發郵件提醒用戶更新密碼


相信不少 Dropbox 的用戶在上週都收到官方提醒更新密碼的電子郵件。據官方解釋,其安全團隊發現有一組舊的用戶登入資料於 2012 年時外洩,為預防用戶的資料遭不當存取因此建議更新密碼。最新的消息顯示,遭外洩的帳戶資料多達 6,800 萬筆。儘管官方稱外洩的資料仍受加密及雜湊算法的保護,但還是建議用戶及早更新密碼,並避免在多項服務中重複使用同一組密碼。

unwire.pro配圖

外洩詳情事隔 4 年披露,牽涉 6,800 萬筆資料

其實早在 2012 年 7 月,Dropbox 已發現相關安全事件,但一直未公布相關資料及受影響用戶的確實數字。不過近日數據外洩索引服務 LeakedSource 向外媒 Softpedia 透露,指該筆 2012 年遭盜取的資料涉及 68,680,741 名用戶的登入資料(電子郵件地址加上加密及散列函數的密碼)。

unwire.pro配圖

而涉及的用戶密碼主要使用兩種演算法加密,其中有 31,865,280 組密碼使用 bcrypt 散列函數加密,而另外的 36,815,461 組密碼則使用 SHA1 散列函數加密。LeakedSource 發言人表示,由於 Dropbox 方面使用了未知的「加料」(Unknown salt)方式,以此提高密碼的複雜性,相信使用 SHA1 加密的密碼短時間內不會被破解。

Dropbox 方面也就事件做出防範,包括在用戶造訪 dropbox.com 時,系統可能會要求建立新密碼,以及向可能受影響的用戶發出更新密碼的郵件,尤其是於 2012 年中前註冊使用 Dropbox、且 2012 年中起便未曾變更密碼的用戶。此外,Dropbox 安全部門主管 Patrick Heim 也建議用戶如果在其他服務正使用與 Dropbox 同一組密碼,也應盡早更新。

 

「加料」方式未遭破解,更新密碼僅為預防性措施

不過用戶無需過分擔心,LeakedSource 方面補充,指除非有人成功破解 Dropbox 所用的「加料」方式,否則這些龐大的外洩資料最多只是知道哪些電郵地址註冊了 Dropbox 服務以及用於發送垃圾郵件。

Dropbox 官方也就更新密碼的措施解釋,指根據其安全團隊監測威脅和保護密碼的方式判斷,相信沒有帳戶遭到不當存取。為安全起見,更新密碼僅為預防性措施。

(本文由 Unwire Pro 授權轉載;首圖來源:Flickr/Ian Lamont CC BY 2.0)