6,800 萬筆帳戶資料外洩 Dropbox 急發電郵提醒用戶更新密碼

相信不少 Dropbox 的用戶在上週都收到官方提醒更新密碼的電郵。據官方解釋,其安全團隊發現有一組舊的用戶登入資料於 2012 年時外洩,為預防用戶的資料遭不當存取因此建議更新密碼。最新的消息顯示,遭外洩的帳戶資料多達 6,800 萬筆。儘管官方稱外洩的資料仍受加密及雜湊算法的保護,但還是建議用戶及早更新密碼,並避免在多項服務中重複使用同一組密碼。

相信不少 Dropbox 的用戶在上週都收到官方提醒更新密碼的電郵。據官方解釋,其安全團隊發現有一組舊的用戶登入資料於 2012 年時外洩,為預防用戶的資料遭不當存取因此建議更新密碼。最新的消息顯示,遭外洩的帳戶資料多達 6,800 萬筆。儘管官方稱外洩的資料仍受加密及雜湊算法的保護,但還是建議用戶及早更新密碼,並避免在多項服務中重複使用同一組密碼。

 

外洩詳情事隔四年披露 牽涉 6,800 萬筆資料

其實早於 2012 年 7 月,Dropbox 已發現相關安全事件,但一直未有公佈相關資料及受影響用戶的確實數字。不過近日數據外洩索引服務 LeakedSource 就向外媒 Softpedia 透露,指該筆 2012 年遭盜取的資料涉及 68,680,741 名用戶的登入資料(電郵地址加上加密及雜湊的密碼)。

而涉及的用戶密碼主要使用兩種演算法加密,其中有 31,865,280 組密碼使用 bcrypt 雜湊加密,而另外的 36,815,461 組密碼則使用 SHA1 雜湊加密。LeakedSource 發言人表示,由於 Dropbox 方面使用了未知的「加鹽」( Unknown salt) 方式,以此提高密碼的複雜性,相信使用 SHA1 加密的密碼短時間內不會被破解。

Dropbox 方面亦就事件作出防範措施,包括在用戶造訪 dropbox.com 時,系統可能會要求建立新密碼,以及向可能受影響的用戶發出更新密碼的郵件,尤其是於 2012 年中前註冊使用 Dropbox,且 2012 年中起便未曾變更密碼的用戶。此外,Dropbox 安全部門主管 Patrick Heim 亦建議用戶如果在其他服務正使用與 Dropbox 同一組密碼,亦應儘早作更新。

 

「加鹽」方式未遭破解 更新密碼僅為預防性措施

不過用戶亦無需過分擔心。LeakedSource 方面補充,指除非有人成功破解 Dropbox 所用的「加鹽」方式,否則這些龐大的外洩資料最多只是知道哪些電郵地址註冊了 Dropbox 服務以及用於發送垃圾郵件。

Dropbox 官方亦就更新密碼的措施解釋,指根據其安全團隊監測威脅和保護密碼的方式判斷,相信未有帳戶遭到不當存取。為安全起見,更新密碼僅為預防性措施。

 

Source: Softpedia  Dropbox  LeakedSource