美国云存储服务Dropbox确认,2012年时发现并披露的一次数据泄露事故影响要比之前预计的更严重。Dropbox表示,上周为所有受影响用户重置了密码。这主要是在2012年年中之前就注册Dropbox,且随后从未修改过密码的用户。Dropbox确认,受影响的帐号超过6000万。
Dropbox信任和安全负责人帕特里克·海姆(Patrick Heim)在一份声明中称:“这不是新的信息安全事故。没有证据表明,Dropbox用户的帐号被不当访问。我们可以确认,上周进行的密码重置能保护所有受影响的用户。即使密码被破解,在重置后这些密码也无法用于访问Dropbox帐号。”
2012 年 Dropbox 官方博客对此事件的解释是:“丢失的密码被用于访问 Dropbox 的员工账号,其中包括带用户电子邮件地址的项目文件。我们认为,这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉,并采取了额外的控制措施,确保这种事故不会再次发生。”
也就是说 Dropbox 一直认为被泄露的只有用户的电子邮箱地址,所以他们才会担心用户受到垃圾邮件的侵染。但实际情况更加可怕,那就是这 6800 万用户的邮箱地址和密码都被泄漏了。
但令人欣慰的是,这些被泄漏的密码是已经被加密过的暗文密码,而不是用户直接输入的明文密码。在 2012 年信息被泄漏之前,Dropbox 曾将自己的加密算法从 SHA-1 升级为 bcrypt,此外这些密码还采用了随机数据串去强化加密的 salt 技术。也就是说即使黑客拿到了这些密码,他们也只能看到一串没有意义的字符。
尽管Dropbox希望向用户保证,他们的帐号是安全的,但在这起事件中,Dropbox仅仅重置了已知存在风险的帐号密码,而没有重置其他密码。实际上,互联网公司常常无法全面了解,在数据泄露事故中有多少数据被泄露,而他们的应对措施通常基于黑客在互联网上兜售的信息。
2012 年 6 月,一个名叫“dwdm”的黑客在一家俄罗斯论坛上公布了 650 万条 LinkedIn 的用户加密密码,随后 LinkedIn 证实有 1 亿用户的账号信息被泄漏。有趣的是,2012 年 Dropbox 的用户密码被泄漏的原因就是黑客利用了该公司开发人员的 LinkedIn 账号信息登录了 Dropbox 的后台管理系统。