黑客入侵Dropbox盜取逾6800萬組帳戶
發布時間: 2016/09/01 20:25
最後更新: 2016/09/01 20:26
最近Dropbox向用戶發出電郵要求更改密碼,揭發原來Dropbox於2012年被黑客入侵,被偷取6,800萬組帳戶,未知有多少用戶受影響,有保安專家直言失竊數量大,反映是Dropbox問題,跟用戶無關,但建議用戶盡快更改密碼,為帳戶「換鎖」。
上星期Dropbox發電郵,通知2012年起未有更改過密碼的用戶、已將他們的密碼重設。根據科技網站Motherboard指出,他們收到一系列合共5GB的檔案,當中含6,800萬組電郵地址及Dropbox密碼,該網站已獲Dropbox員工證實資料屬實。
事實上,Dropbox早前已強制要求用戶更改密碼,相信事件跟2012年數據失竊有關,而微軟區域總監Troy Hunt亦從檔案中確認,檔案內包含他和妻子的登入資訊屬真確。
雖然檔案中的密碼均有加密,但當中只有3,200萬個用較強的bcrypt加密,逾半只用較弱的SHA-1加密。Dropbox發言人指,暫未於這些帳戶發現惡意程式登入。
為了保障所有自2012年未曾更改密碼的用戶,Dropbox系統硬性規定將原本的密碼重設,令黑客基本上無法以密碼此登入;惟若傾向「一密碼走天涯」的用戶仍有危機,黑客有機會用相同組合嘗試登入其他網上平台的帳號。
趨勢科技網絡安全顧問李浩然相信,今次帳戶及密碼大量失竊,相信跟Dropbox數據庫有關,亦已修補問題後才邀請用戶改密碼;惟他指出,用戶能夠做到的不多,反之建議用戶盡快更改密碼,猶如為帳戶「換鎖」,以免被「舊鎖匙」輕易開啟。