TechCrunch 中國
Dropbox確認賬號信息泄露,但否認遭到黑客攻擊
在 上周Snapchat遭到黑客攻擊 導致照片泄露之后,Snapchat的云存儲服務提供商Dropbox也被曝出信息安全問題。一名匿名的Pastebin用戶宣稱,已經獲得了近700萬個Dropbox帳戶的登錄信息(包括電子郵件地址和密碼)。這名用戶在Pastebin上發布了400條這樣的信息,并表示如果其他用戶提供比特幣捐款,那么他將發布更多信息。
在這篇內容發布之后,又有幾批所謂的Dropbox登錄信息被公布(每一批包括約100條帳戶登錄信息)。然而,隨后公布的這些信息似乎并非真實的。在的一篇博客公告中,Dropbox指出:“隨后又有一些用戶名和密碼被發送至網上。我們已經進行了檢查,這些信息與Dropbox帳號無關。”
與Snapchat遭遇的黑客攻擊事件類似,Dropbox表示,這400條帳號信息來自“不相關的”第三方服務,并強調該服務自身的信息安全系統并未被黑客攻破。
不過,與Snapchat不同,Dropbox并未指責使用其應用程序接口(API)的服務。目前看來,這些賬號密碼的泄露是由于一些用戶在其他網絡服務中使用了同樣的賬號密碼。
在發布至 公司博客 的一篇題為“Dropbox沒有被黑客攻破!”的文章中,Dropbox的安東·米亞金(AntonMityagin)表示:
近期的一些報道宣稱,Dropbox遭到了黑客攻擊。這是不準確的。你的資料很安全,這些報道中提到的帳號和密碼竊取自不相關的服務,而不是Dropbox。攻擊者隨后使用這些竊取到的信息嘗試登錄多家互聯網網站,包括Dropbox。我們擁有措施去探測可疑登錄活動,并且會在這種情況發生時自動重置密碼。
由于類似這樣的攻擊,我們強烈建議用戶不要在多個服務之間使用同樣的密碼。為了加強安全性,我們總是建議用戶啟用帳號的兩步驗證機制。
在較早提供給科技博客 TheNext Web的一篇公告 中,Dropbox表示,該公司此前已經檢測到了這樣的攻擊。此外,“被公布的絕大部分密碼都已經過期一段時間”:
Dropbox沒有遭到黑客攻擊。這些用戶名和密碼竊取自其他服務,被用于嘗試登錄Dropbox帳號。我們此前已經探測到這樣的攻擊,而被公布的絕大多數密碼都已經過期一段時間。所有其他密碼也都已經過期。
目前尚不清楚,其他哪些網站或服務是此次賬號信息泄露的來源。不過Dropbox的公告確認,最初發布的一批賬號密碼確實是真實的登錄信息。不過,Dropbox目前已經對這些帳號密碼進行了重置。Dropbox同時表示,沒有實際帳號由于此次的信息泄露而遭到攻擊。
如果僅僅是由于用戶在不同網絡服務之間使用同樣的用戶名密碼,那么Dropbox關于該服務沒有被黑客攻破的說法是站得住腳的。不過最終結果,即用戶帳號被攻破,仍是相同的。
要求用戶啟用額外的信息安全措施,例如兩步驗證機制,將有助保護帳號免受此類攻擊,給用戶的密碼安全帶來更好的保護。但很明顯,啟用這些措施將導致用戶在使用過程中面臨更復雜的狀況。因此,信息安全和便捷性之間的矛盾仍將持續。(考慮到黑客希望通過比特幣捐款賺快錢,以及隨后并沒有類似的信息公布。)
Dropbox 本周早些時候 也引起過外界關注。當時,美國國家安全局(NSA)前雇員愛德華·斯諾登(EdwardSnowden)將Dropbox描述為“對隱私保護懷有敵意”。斯諾登表示,Dropbox能夠獲取你的數據。這是許多網絡服務存在的另一種信息安全問題。
斯諾登向互聯網用戶警告稱,Dropbox沒有保護他們的隱私,因為該公司持有加密秘鑰,因此可以在政府的要求下提供保存在其服務器上的用戶數據。他建議用戶停用Dropbox,改用不保存任何加密密鑰(因此無法讀取你數據)的云存儲服務,例如Dropbox的競爭對手SpiderOak。(譯:維金)
Dropbox Confirms Compromised Account Details But Says Its Servers Weren’t Hacked