Dropbox最近公佈了2012年洩漏的大部分用戶的憑據是在Dark Web上發現的,但是受影響的用戶的數量比最初想像的要大。
該公司通過哈希和醃製來保護其用戶密碼,這意味著持有Dropbox用戶的Hashed文件的黑客無法破解它們。
但是,消息人士指出,比公司首先公開承認的更多信息是從Dropbox獲取的。 Dropbox用戶電子郵件不僅洩漏了,而且與上述電子郵件相關的大量Hashed密碼也陷入了黑客手機中。
主機板報告那68,680,741個Dropbox用戶在洩漏中遭到損害。
當違規行為發生時,Dropbox正在輸入BCrypt,這是一種比當時的標準算法更強大的散列方法,稱為SHA-1。從被盜的密碼中,據稱使用BCRypt進行了3200萬。
有些令人放心的是,由於鹽(又稱一個隨機生成的數據字符串),密碼具有額外的安全層。好消息是,儘管數據是在網上傾倒的,但哈希保護措施似乎持有自己的反對嘗試。
儘管違反了安全性,但Dropbox在過去幾年中仍註冊了大量的用戶群擴展。
2012年11月,公司的掌舵人德魯·休斯頓(Drew Houston)確認該服務將其用戶帳戶數量翻了一番,高達1億。該公司最近報告說,增加了多達5億用戶。但是,請記住,每月活躍用戶的次數都被保密。
如果Dropbox在四年前發生違規時計算了1億用戶,則意味著該公司用戶群的五分之三被妥協。
消息人士指出,黑客使用了從LinkedIn洩漏中重複使用的員工密碼,這是2012年的另一個主要安全失敗。
這表明洩漏的故障並不完全在Dropbox的肩膀上,而是強調與密碼重複使用相關的危險,並強調這些危險在公司環境中有多危險。
從那時起,該公司努力確保其員工避免在其公司帳戶上重複使用密碼。
為了強制使用強密碼使用強密碼,Dropbox向密碼管理服務1Password提供了許可證,向其所有員工提供了許可。根據Dropbox的信任和安全掌舵人帕特里克·海姆(Patrick Heim)的說法,他的公司要求其所有內部系統都受到兩因素身份驗證的保護。
查看用戶憑據洩漏後Dropbox的增長方式,看來公司通過哈希和鹹水來確保密碼安全。
由於服務器的存儲內容多種多樣,黑客通常會在在線雲存儲服務上進行戳戳。這可能是最著名的例子是2014年9月的大型私人名人照片洩漏,但Dropbox當時並未與黑客相關。
請記住,最後一次主要洩漏發生在2012年,當時該公司仍處於起步階段。沒有公司是完美的,並且可以預期安全打ic,但是Dropbox肯定可以在其溝通中使用更多的透明度,尤其是在違規過程中。
如果您是經常的Dropbox用戶,更改密碼現在可能是一個很好的主意。
