Dropbox確認(rèn)在2012年的泄露事件里6800萬(wàn)用戶的身份信息被泄露，并且它會(huì)持續(xù)提醒用戶更新密碼，避免密碼被重用，同時(shí)啟用雙因素身份認(rèn)證。

該云存儲(chǔ)供應(yīng)商一直在淡化該新聞的影響，聲稱還沒(méi)有足夠證據(jù)表明Dropbox密碼的泄露導(dǎo)致賬戶被入侵。Dropbox上周強(qiáng)制那些自從2012年以來(lái)就沒(méi)有變更過(guò)密碼的用戶重置密碼。最初Dropbox泄露事件發(fā)生在2012年，當(dāng)時(shí)黑客使用從其他網(wǎng)站偷到的密碼來(lái)獲得這些密碼的Dropbox賬號(hào)登錄權(quán)限，其中包括一個(gè)Dropbox員工的賬號(hào)。

“自從我們披露這件事件開始，從2012年以來(lái)已經(jīng)收到了很多報(bào)告，大概有6,800萬(wàn)Dropbox的認(rèn)證信息被泄露。帶有隨機(jī)生成密碼的郵箱地址都是真實(shí)的，但是，沒(méi)有證據(jù)表明Dropbox的用戶賬戶被惡意訪問(wèn)過(guò)，” Dropbox的受信和安全主管Patrick Heim在博客里這么說(shuō)。

“根據(jù)我們的分析，這些身份認(rèn)證信息很可能是2012年獲取的。我們?cè)趦芍芮暗谝淮温牭疥P(guān)于這些事情的一些消息，并且立即啟動(dòng)了調(diào)查。隨后我們給我們認(rèn)為受到影響的所有用戶發(fā)送了郵件，并且為那些自從2012年以來(lái)就沒(méi)有更新過(guò)密碼的用戶重置了密碼。這樣的重置確保即使這些密碼被破譯了，黑客仍然無(wú)法使用這些密碼訪問(wèn)Dropbox賬號(hào)。”

Heim還警告用戶避免在不同的網(wǎng)站或者服務(wù)里重用相同的密碼，并且重申了使用復(fù)雜密碼同時(shí)啟用雙因素身份認(rèn)證的重要性。他還提醒用戶“警惕垃圾郵件或者釣魚郵件，因?yàn)猷]箱地址會(huì)包含在列表里。”

專家評(píng)價(jià)泄露事件

同時(shí)，安全專家對(duì)Dropbox密碼泄露事件的響應(yīng)分成了兩派。Matthew Gardiner，沃特敦的一家郵件安全公司Mimecast的網(wǎng)絡(luò)安全戰(zhàn)略師，通過(guò)郵件告訴SearchSecurity，“顯然Dropbox是很多企業(yè)網(wǎng)絡(luò)上的明顯漏洞。”

“企業(yè)需要給其員工提供安全的替代方案，從而在企業(yè)級(jí)共享大型文件，”Gardiner說(shuō)。“如果員工沒(méi)有更好的選擇，他們就會(huì)使用多個(gè)供應(yīng)商的產(chǎn)品，且創(chuàng)建多個(gè)賬戶，這些賬戶都沒(méi)有安全地監(jiān)控。”

另外一些專家則贊揚(yáng)了泄露事件的處理回應(yīng)，同時(shí)也指出依賴于密碼的戰(zhàn)略的薄弱之處。“Dropbox看上去在用戶數(shù)據(jù)安全保護(hù)上做得很好，加密密碼并更新了加密標(biāo)準(zhǔn)，” Ryan Disraeli說(shuō)，他是總部位于加利福利亞，瑪麗安德爾灣的移動(dòng)身份認(rèn)證公司TeleSign的聯(lián)合創(chuàng)始人和副總裁。但是，他還補(bǔ)充道，“我們發(fā)現(xiàn)即使使用了很好的保護(hù)措施，僅有密碼保護(hù)仍然是不足的。密碼太容易被破解，這使得額外的安全層完全不起作用。因?yàn)楹芏嘈孤兜拿艽a是加密的，所以密碼方案仍然是相對(duì)安全的。但是，如我們所見，大多數(shù)用戶實(shí)際上在很多賬號(hào)間公用一些安全性很差的密碼，并且不會(huì)周期性地更新。”

Gardiner注意到文件共享服務(wù)，比如Dropbox，當(dāng)員工賬戶被入侵時(shí)，給企業(yè)帶來(lái)了安全威脅。“一旦某個(gè)賬號(hào)被入侵，它就可能被當(dāng)做攻擊向量向網(wǎng)絡(luò)里提交惡意鏈接，”他說(shuō)。“雖然它看上去像是來(lái)自于員工知道的某個(gè)人發(fā)送的郵件，但是它可能是病毒或者勒索軟件，可能會(huì)摧毀企業(yè)整個(gè)系統(tǒng)。”

Adam Levin，他是總部位于斯科茨代爾的一家身份認(rèn)證保護(hù)服務(wù)IDT911 LLC公司的主席和創(chuàng)始人，注意到雖然絕大多數(shù)泄露的Dropbox密碼看上去仍然是安全的，因?yàn)槭褂昧藦?qiáng)大的哈希算法，但是郵件地址仍然能夠暴露敏感數(shù)據(jù)。“郵箱地址是我們數(shù)字身份認(rèn)證的基石，因?yàn)樗鼈兺ǔ０匾拿Q以及/或者數(shù)字，比如你的生日、大學(xué)或者工作。”

“所有這些信息都是很小的信息來(lái)源，黑客可能據(jù)此猜出密碼并且回答安全問(wèn)題，來(lái)訪問(wèn)更多的敏感信息，”Levin說(shuō)。“郵件地址還通常作為很多其他賬號(hào)的用戶ID，比如財(cái)務(wù)服務(wù)或者社交網(wǎng)絡(luò)網(wǎng)站，還不用說(shuō)提供了多種釣魚攻擊的上下文。因此，可能的災(zāi)難很可能不僅僅限于Dropbox。”