相信不少 Dropbox 的用户在上周都收到官方提醒更新密码的电子邮件。据官方解释,其安全团队发现有一组旧的用户登入资料于 2012 年时外泄,为预防用户的资料遭不当存取因此建议更新密码。最新的消息显示,遭外泄的账户资料多达 6,800 万笔。尽管官方称外泄的资料仍受加密及杂凑算法的保护,但还是建议用户及早更新密码,并避免在多项服务中重复使用同一组密码。
外泄详情事隔 4 年披露,牵涉 6,800 万笔资料
其实早在 2012 年 7 月,Dropbox 已发现相关安全事件,但一直未公布相关资料及受影响用户的确实数字。不过近日数据外泄索引服务 LeakedSource 向外媒 Softpedia 透露,指该笔 2012 年遭盗取的资料涉及 68,680,741 名用户的登入资料(电子邮件地址加上加密及散列函数的密码)。
而涉及的用户密码主要使用两种算法加密,其中有 31,865,280 组密码使用 bcrypt 散列函数加密,而另外的 36,815,461 组密码则使用 SHA1 散列函数加密。LeakedSource 发言人表示,由于 Dropbox 方面使用了未知的“加料”(Unknown salt)方式,以此提高密码的复杂性,相信使用 SHA1 加密的密码短时间内不会被破解。
Dropbox 方面也就事件做出防范,包括在用户造访 dropbox.com 时,系统可能会要求建立新密码,以及向可能受影响的用户发出更新密码的邮件,尤其是于 2012 年中前注册使用 Dropbox、且 2012 年中起便未曾变更密码的用户。此外,Dropbox 安全部门主管 Patrick Heim 也建议用户如果在其他服务正使用与 Dropbox 同一组密码,也应尽早更新。
“加料”方式未遭破解,更新密码仅为预防性措施
不过用户无需过分担心,LeakedSource 方面补充,指除非有人成功破解 Dropbox 所用的“加料”方式,否则这些庞大的外泄资料最多只是知道哪些电邮地址注册了 Dropbox 服务以及用于发送垃圾邮件。
Dropbox 官方也就更新密码的措施解释,指根据其安全团队监测威胁和保护密码的方式判断,相信没有账户遭到不当存取。为安全起见,更新密码仅为预防性措施。
- Dropbox 2012 Mega Breach Affected over 68 Million Users
- 系统要求我在 dropbox.com 上建立新密码。原因为何,我又该怎么做?
(本文由 Unwire Pro 授权转载;首图来源:Flickr/Ian Lamont CC BY 2.0)
