日前 Dropbox 发现在 2012 年的一批旧用户资料曾经外泄,导致如果从 2012 年起便未曾换过密码的用户个资可能遭到盗用。不过,用户究竟该如何判断自己的账号和密码是否有在外泄名单上?
据部落格《黑暗执行绪》的分享,国外一位有名的资安领域开发者 Troy Hunt 拿到了 Dropbox 流出的多达 6800 万笔账密名单。尽管清单正如 Dropbox 在事发后描述,是以 20 位元的字码随机加密过,没有直接呈现原始值,但他透过称作 1Password 的工具破解乱码后,发现自己妻子的 Dropbox 账号密码确实出现在上头,证实此次的帐密外泄事件为真。
Troy Hunt 随后把清单放上自己的网站。该网站整理了过往几次大规模密码外泄事件的清单,让用户可以简单输入自己的 Email 或账号,检查自己是否曾不经意成为网络个资外泄的受害者。Troy Hunt 的网站如下:“Have I been pawned?”。
输入后,网站会出现两种资讯,包括在该网站整理的多种外泄来源中,用户中了哪几个,此外也会告知自己的资料是否已经在网络上公开流通。《黑暗执行绪》指出,由于 Dropbox 这次流出的资料并没有公开流传,因此用户应该都会显示出“found no pastes”,意指没有被公开散布,不过那不代表资料没有在骇客社群间流传。
建议用户除了更改密码,也可以增设两步骤验证。
- The Dropbox hack is real
- 你的密码被偷了吗? by 黑暗执行绪
(首图来源:Flickr/Ian Lamont CC BY 2.0)
延伸阅读:
- 6,800 万笔账户资料外泄,Dropbox 急发邮件提醒用户更新密码
