Dropbox確認在2012年的泄露事件里6800萬用戶的身份信息被泄露,并且它會持續提醒用戶更新密碼,避免密碼被重用,同時啟用雙因素身份認證。
該云存儲供應商一直在淡化該新聞的影響,聲稱還沒有足夠證據表明Dropbox密碼的泄露導致賬戶被入侵。Dropbox上周強制那些自從2012年以來就沒有變更過密碼的用戶重置密碼。最初Dropbox泄露事件發生在2012年,當時黑客使用從其他網站偷到的密碼來獲得這些密碼的Dropbox賬號登錄權限,其中包括一個Dropbox員工的賬號。
“自從我們披露這件事件開始,從2012年以來已經收到了很多報告,大概有6,800萬Dropbox的認證信息被泄露。帶有隨機生成密碼的郵箱地址都是真實的,但是,沒有證據表明Dropbox的用戶賬戶被惡意訪問過,” Dropbox的受信和安全主管Patrick Heim在博客里這么說。
“根據我們的分析,這些身份認證信息很可能是2012年獲取的。我們在兩周前第一次聽到關于這些事情的一些消息,并且立即啟動了調查。隨后我們給我們認為受到影響的所有用戶發送了郵件,并且為那些自從2012年以來就沒有更新過密碼的用戶重置了密碼。這樣的重置確保即使這些密碼被破譯了,黑客仍然無法使用這些密碼訪問Dropbox賬號。”
Heim還警告用戶避免在不同的網站或者服務里重用相同的密碼,并且重申了使用復雜密碼同時啟用雙因素身份認證的重要性。他還提醒用戶“警惕垃圾郵件或者釣魚郵件,因為郵箱地址會包含在列表里。”
專家評價泄露事件
同時,安全專家對Dropbox密碼泄露事件的響應分成了兩派。Matthew Gardiner,沃特敦的一家郵件安全公司Mimecast的網絡安全戰略師,通過郵件告訴SearchSecurity,“顯然Dropbox是很多企業網絡上的明顯漏洞。”
“企業需要給其員工提供安全的替代方案,從而在企業級共享大型文件,”Gardiner說。“如果員工沒有更好的選擇,他們就會使用多個供應商的產品,且創建多個賬戶,這些賬戶都沒有安全地監控。”
另外一些專家則贊揚了泄露事件的處理回應,同時也指出依賴于密碼的戰略的薄弱之處。“Dropbox看上去在用戶數據安全保護上做得很好,加密密碼并更新了加密標準,” Ryan Disraeli說,他是總部位于加利福利亞,瑪麗安德爾灣的移動身份認證公司TeleSign的聯合創始人和副總裁。但是,他還補充道,“我們發現即使使用了很好的保護措施,僅有密碼保護仍然是不足的。密碼太容易被破解,這使得額外的安全層完全不起作用。因為很多泄露的密碼是加密的,所以密碼方案仍然是相對安全的。但是,如我們所見,大多數用戶實際上在很多賬號間公用一些安全性很差的密碼,并且不會周期性地更新。”
Gardiner注意到文件共享服務,比如Dropbox,當員工賬戶被入侵時,給企業帶來了安全威脅。“一旦某個賬號被入侵,它就可能被當做攻擊向量向網絡里提交惡意鏈接,”他說。“雖然它看上去像是來自于員工知道的某個人發送的郵件,但是它可能是病毒或者勒索軟件,可能會摧毀企業整個系統。”
Adam Levin,他是總部位于斯科茨代爾的一家身份認證保護服務IDT911 LLC公司的主席和創始人,注意到雖然絕大多數泄露的Dropbox密碼看上去仍然是安全的,因為使用了強大的哈希算法,但是郵件地址仍然能夠暴露敏感數據。“郵箱地址是我們數字身份認證的基石,因為它們通常包含重要的名稱以及/或者數字,比如你的生日、大學或者工作。”
“所有這些信息都是很小的信息來源,黑客可能據此猜出密碼并且回答安全問題,來訪問更多的敏感信息,”Levin說。“郵件地址還通常作為很多其他賬號的用戶ID,比如財務服務或者社交網絡網站,還不用說提供了多種釣魚攻擊的上下文。因此,可能的災難很可能不僅僅限于Dropbox。”
京公網安備 11010502049343號