美国云存储服务商Dropbox周三确认,2012年时发现并披露的一次数据泄露事故影响要比之前预计的更严重。有报道称,此次数据泄露事故影响了近6800万帐号。
Dropbox强制重置用户密码
不需要任何花费,你就能得到黑客公布在网上的完整Dropbox泄露数据库。在今年8月,云存储服务商Dropbox超过6800万用户账户凭证的数据库被公布在网上。Dropbox发现此次公布的泄露数据与2012年提到的泄露数据十分相似,因此对泄露数据内匹配到的用户进行了密码重置。在老用户登陆Dropbox网站时,他们可能会收到创建新密码的提示。Dropbox将向满足条件的用户开启主动提醒,提醒他们进行密码重置或升级。
此外,满足以下条件的用户将会被强制重置:
在2012年年中注册Dropbox的用户
在2012年年中以来没有修改过密码的用户
官方声音
Dropbox的公关部门和安全部门负责人帕特里克·海姆(PatrickHeim)表示:“我们可以确认,密码重置保护机制已经覆盖全部受影响的用户,这些用户大多都是在2012年年中之前创建的Dropbox账号。
在今年9月,一个名为Double Flag的黑客在黑市平台TheRealDeal上标价2比特币(大约1200美元)公开出售Dropbox数据库。
另据hackread.com的数据显示,这个数据库包含了68679804个账户凭证,既有用户的邮箱,还有encrypted加密的密码。数据显示,36814524组密码使用SHA-1加密,大约3200万组密码使用BCrypt杂凑加密。
Dropbox数据如何泄露?
消息人士声称,黑客通过LinkedIn获得了Dropbox员工的账号和密码,并使用这一密码访问了Dropbox的企业网,从而获取了用户的密码。因此,问题并不完全出在 Dropbox 方面。不过,这仍然违反了 Dropbox 内部的信息安全标准,并表明员工重复使用同一账号密码的问题已经影响了企业环境。
托马斯.怀特(Thomas White),一个俗称恶魔的黑客,在网上公布了被泄露用户全部的文档。此外,该黑客还发表了一篇文章,名为《一个时代的终结》来对一些公司发起了挑战。
其他公司如何应对?
在2012年,LinkedIn发生了数据泄露,导致了大约650万人的密码被重置。随后,LinkedIn禁用了一些可能受影响的账号密码。
在2014年,eBay也发生了数据泄露事件,事件发生后,eBay通过邮件提醒用户修改密码,这也导致了eBay的1.45亿的活跃用户受到了钓鱼攻击的危险。
面对黑客攻击,互联网公司并没有统一的应对措施和标准,但是重置密码将会存在法律和用户体验度方面的风险。
本文转自d1net(转载)