Dropbox密码泄露影响6800万用户

简介:

Dropbox确认在2012年的泄露事件里6800万用户的身份信息被泄露,并且它会持续提醒用户更新密码,避免密码被重用,同时启用双因素身份认证。

该云存储供应商一直在淡化该新闻的影响,声称还没有足够证据表明Dropbox密码的泄露导致账户被入侵。Dropbox上周强制那些自从2012年以来就没有变更过密码的用户重置密码。最初Dropbox泄露事件发生在2012年,当时黑客使用从其他网站偷到的密码来获得这些密码的Dropbox账号登录权限,其中包括一个Dropbox员工的账号。

“自从我们披露这件事件开始,从2012年以来已经收到了很多报告,大概有6,800万Dropbox的认证信息被泄露。带有随机生成密码的邮箱地址都是真实的,但是,没有证据表明Dropbox的用户账户被恶意访问过,” Dropbox的受信和安全主管Patrick Heim在博客里这么说。

“根据我们的分析,这些身份认证信息很可能是2012年获取的。我们在两周前第一次听到关于这些事情的一些消息,并且立即启动了调查。随后我们给我们认为受到影响的所有用户发送了邮件,并且为那些自从2012年以来就没有更新过密码的用户重置了密码。这样的重置确保即使这些密码被破译了,黑客仍然无法使用这些密码访问Dropbox账号。”

Heim还警告用户避免在不同的网站或者服务里重用相同的密码,并且重申了使用复杂密码同时启用双因素身份认证的重要性。他还提醒用户“警惕垃圾邮件或者钓鱼邮件,因为邮箱地址会包含在列表里。”

专家评价泄露事件

同时,安全专家对Dropbox密码泄露事件的响应分成了两派。Matthew Gardiner,沃特敦的一家邮件安全公司Mimecast的网络安全战略师,通过邮件告诉SearchSecurity,“显然Dropbox是很多企业网络上的明显漏洞。”

“企业需要给其员工提供安全的替代方案,从而在企业级共享大型文件,”Gardiner说。“如果员工没有更好的选择,他们就会使用多个供应商的产品,且创建多个账户,这些账户都没有安全地监控。”

另外一些专家则赞扬了泄露事件的处理回应,同时也指出依赖于密码的战略的薄弱之处。“Dropbox看上去在用户数据安全保护上做得很好,加密密码并更新了加密标准,” Ryan Disraeli说,他是总部位于加利福利亚,玛丽安德尔湾的移动身份认证公司TeleSign的联合创始人和副总裁。但是,他还补充道,“我们发现即使使用了很好的保护措施,仅有密码保护仍然是不足的。密码太容易被破解,这使得额外的安全层完全不起作用。因为很多泄露的密码是加密的,所以密码方案仍然是相对安全的。但是,如我们所见,大多数用户实际上在很多账号间公用一些安全性很差的密码,并且不会周期性地更新。”

Gardiner注意到文件共享服务,比如Dropbox,当员工账户被入侵时,给企业带来了安全威胁。“一旦某个账号被入侵,它就可能被当做攻击向量向网络里提交恶意链接,”他说。“虽然它看上去像是来自于员工知道的某个人发送的邮件,但是它可能是病毒或者勒索软件,可能会摧毁企业整个系统。”

Adam Levin,他是总部位于斯科茨代尔的一家身份认证保护服务IDT911 LLC公司的主席和创始人,注意到虽然绝大多数泄露的Dropbox密码看上去仍然是安全的,因为使用了强大的哈希算法,但是邮件地址仍然能够暴露敏感数据。“邮箱地址是我们数字身份认证的基石,因为它们通常包含重要的名称以及/或者数字,比如你的生日、大学或者工作。”

“所有这些信息都是很小的信息来源,黑客可能据此猜出密码并且回答安全问题,来访问更多的敏感信息,”Levin说。“邮件地址还通常作为很多其他账号的用户ID,比如财务服务或者社交网络网站,还不用说提供了多种钓鱼攻击的上下文。因此,可能的灾难很可能不仅仅限于Dropbox。”

本文转自d1net(转载)

相关文章
|
安全 Shell API
绕过反病毒添加管理员用户小结
绕过反病毒添加管理员用户小结
174 0
绕过反病毒添加管理员用户小结
|
Web App开发 数据安全/隐私保护
Firefox用户,一个不小心你们的密码可能已经被泄露
火狐(Firefox)浏览器是极客君比较常用的一个浏览器,在某次使用中,本人发现一个很有可能泄露使用者用户名及密码的缺陷,特此分享一下! 点击已保存的登录信息。
1048 0
|
数据安全/隐私保护 安全
250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了
本文讲的是250万用户敏感信息泄露,Xbox和Playstation论坛已经没有隐私了,如果你在Xbox360ISO.com和PSPISO.com平台上有开通账户,那么请你赶紧重置密码。原因是,2015年末这两个网站已经被无名黑客入侵,受影响用户的账号信息已经散播至网上。
1373 0
|
Web App开发 存储 安全
9款热门密码管理应用可能正在泄露你的隐私数据
本文讲的是9款热门密码管理应用可能正在泄露你的隐私数据,2017年还有什么是安全的吗?答案很可能是否定的! 对于你的电脑、电子邮件和信息而言,确保你的密码安全是抵抗黑客攻击的第一道防线。而为了让大家生成足够复杂足够安全的密码的同时又省去记忆的烦恼,密码管理软件便应运而生了。
2153 0
|
安全
ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏
本文讲的是ImageMagick再爆严重漏洞,可导致雅虎邮箱用户邮件内容泄漏,在安全研究员发现图片处理库ImageMagick存在严重漏洞、可导致服务器内存数据泄漏错误后,雅虎工程师决定把自家网站上的这个库换掉。而由于ImageMagick的高权限,用户收件箱里的邮件图片可能会泄露。
1991 0
|
安全 数据安全/隐私保护 API
全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?
本文讲的是全球最大的已泄漏密码库现可公开访问下载:你的密码有人泄漏过吗?,前不久美国国家标准和技术协会(NIST)发布《数字身份验证指南(DAG)》的最新草案,建议企业定期检查用户是否使用了已泄漏密码。
6177 0
|
JavaScript 安全 API
趋势杀毒曝远程执行漏洞 可盗取用户所有密码
本文讲的是趋势杀毒曝远程执行漏洞 可盗取用户所有密码,谷歌著名安全研究员提供进一步证据证明杀毒软件有时也是黑客入侵的渠道。
1129 0
|
安全 数据安全/隐私保护