Dropbox最近公布了2012年泄漏的大部分用户的凭据是在Dark Web上发现的,但是受影响的用户的数量比最初想象的要大。
该公司通过哈希和腌制来保护其用户密码,这意味着持有Dropbox用户的Hashed文件的黑客无法破解它们。
但是,消息人士指出,比公司首先公开承认的更多信息是从Dropbox获取的。 Dropbox用户电子邮件不仅泄漏了,而且与上述电子邮件相关的大量Hashed密码也陷入了黑客手机中。
母板报告那68,680,741个Dropbox用户在泄漏中遭到损害。
当违规行为发生时,Dropbox正在输入BCrypt,这是一种比当时的标准算法更强大的散列方法,称为SHA-1。从被盗的密码中,据称使用BCRypt进行了3200万。
有些令人放心的是,由于盐(又称一个随机生成的数据字符串),密码具有额外的安全层。好消息是,尽管数据是在网上倾倒的,但哈希保护措施似乎持有自己的反对尝试。
尽管违反了安全性,但Dropbox在过去几年中仍注册了大量的用户群扩展。
2012年11月,公司的掌舵人德鲁·休斯顿(Drew Houston)确认该服务将其用户帐户数量翻了一番,高达1亿。该公司最近报告说,增加了多达5亿用户。但是,请记住,每月活跃用户的次数都被保密。
如果Dropbox在四年前发生违规时计算了1亿用户,则意味着该公司用户群的五分之三被妥协。
消息人士指出,黑客使用了从LinkedIn泄漏中重复使用的员工密码,这是2012年的另一个主要安全失败。
这表明泄漏的故障并不完全在Dropbox的肩膀上,而是强调与密码重复使用相关的危险,并强调这些危险在公司环境中有多危险。
从那时起,该公司努力确保其员工避免在其公司帐户上重复使用密码。
为了强制使用强密码使用强密码,Dropbox向密码管理服务1Password提供了许可证,向其所有员工提供了许可。根据Dropbox的信任和安全掌舵人帕特里克·海姆(Patrick Heim)的说法,他的公司要求其所有内部系统都受到两因素身份验证的保护。
查看用户凭据泄漏后Dropbox的增长方式,看来公司通过哈希和咸水来确保密码安全。
由于服务器的存储内容多种多样,黑客通常会在在线云存储服务上进行戳戳。这可能是最著名的例子是2014年9月的大型私人名人照片泄漏,但Dropbox当时并未与黑客相关。
请记住,最后一次主要泄漏发生在2012年,当时该公司仍处于起步阶段。没有公司是完美的,并且可以预期安全打ic,但是Dropbox肯定可以在其沟通中使用更多的透明度,尤其是在违规过程中。
如果您是经常的Dropbox用户,更改密码现在可能是一个很好的主意。
