美國云存儲服務商Dropbox周三確認,2012年時發現并披露的一次數據泄露事故影響要比之前預計的更嚴重。有報道稱,此次數據泄露事故影響了近6800萬帳號。
Dropbox強制重置用戶密碼
不需要任何花費,你就能得到黑客公布在網上的完整Dropbox泄露數據庫。在今年8月,云存儲服務商Dropbox超過6800萬用戶賬戶憑證的數據庫被公布在網上。Dropbox發現此次公布的泄露數據與2012年提到的泄露數據十分相似,因此對泄露數據內匹配到的用戶進行了密碼重置。在老用戶登陸Dropbox網站時,他們可能會收到創建新密碼的提示。Dropbox將向滿足條件的用戶開啟主動提醒,提醒他們進行密碼重置或升級。
此外,滿足以下條件的用戶將會被強制重置:
在2012年年中注冊Dropbox的用戶
在2012年年中以來沒有修改過密碼的用戶
官方聲音
Dropbox的公關部門和安全部門負責人帕特里克·海姆(PatrickHeim)表示:“我們可以確認,密碼重置保護機制已經覆蓋全部受影響的用戶,這些用戶大多都是在2012年年中之前創建的Dropbox賬號。
在今年9月,一個名為Double Flag的黑客在黑市平臺TheRealDeal上標價2比特幣(大約1200美元)公開出售Dropbox數據庫。
另據hackread.com的數據顯示,這個數據庫包含了68679804個賬戶憑證,既有用戶的郵箱,還有encrypted加密的密碼。數據顯示,36814524組密碼使用SHA-1加密,大約3200萬組密碼使用BCrypt雜湊加密。
Dropbox數據如何泄露?
消息人士聲稱,黑客通過LinkedIn獲得了Dropbox員工的賬號和密碼,并使用這一密碼訪問了Dropbox的企業網,從而獲取了用戶的密碼。因此,問題并不完全出在 Dropbox 方面。不過,這仍然違反了 Dropbox 內部的信息安全標準,并表明員工重復使用同一賬號密碼的問題已經影響了企業環境。
托馬斯.懷特(Thomas White),一個俗稱惡魔的黑客,在網上公布了被泄露用戶全部的文檔。此外,該黑客還發表了一篇文章,名為《一個時代的終結》來對一些公司發起了挑戰。
其他公司如何應對?
在2012年,LinkedIn發生了數據泄露,導致了大約650萬人的密碼被重置。隨后,LinkedIn禁用了一些可能受影響的賬號密碼。
在2014年,eBay也發生了數據泄露事件,事件發生后,eBay通過郵件提醒用戶修改密碼,這也導致了eBay的1.45億的活躍用戶受到了釣魚攻擊的危險。
面對黑客攻擊,互聯網公司并沒有統一的應對措施和標準,但是重置密碼將會存在法律和用戶體驗度方面的風險。
Dropbox data 下載地址:BT種子下載
*參考來源:securityaffairs,FB小編latiaojun編譯,轉載請注明來自FreeBuf(FreeBuf.COM)
京公網安備 11010502049343號