TechCrunch 中国
Dropbox确认账号信息泄露,但否认遭到黑客攻击
在 上周Snapchat遭到黑客攻击 导致照片泄露之后,Snapchat的云存储服务提供商Dropbox也被曝出信息安全问题。一名匿名的Pastebin用户宣称,已经获得了近700万个Dropbox帐户的登录信息(包括电子邮件地址和密码)。这名用户在Pastebin上发布了400条这样的信息,并表示如果其他用户提供比特币捐款,那么他将发布更多信息。
在这篇内容发布之后,又有几批所谓的Dropbox登录信息被公布(每一批包括约100条帐户登录信息)。然而,随后公布的这些信息似乎并非真实的。在的一篇博客公告中,Dropbox指出:“随后又有一些用户名和密码被发送至网上。我们已经进行了检查,这些信息与Dropbox帐号无关。”
与Snapchat遭遇的黑客攻击事件类似,Dropbox表示,这400条帐号信息来自“不相关的”第三方服务,并强调该服务自身的信息安全系统并未被黑客攻破。
不过,与Snapchat不同,Dropbox并未指责使用其应用程序接口(API)的服务。目前看来,这些账号密码的泄露是由于一些用户在其他网络服务中使用了同样的账号密码。
在发布至 公司博客 的一篇题为“Dropbox没有被黑客攻破!”的文章中,Dropbox的安东·米亚金(AntonMityagin)表示:
近期的一些报道宣称,Dropbox遭到了黑客攻击。这是不准确的。你的资料很安全,这些报道中提到的帐号和密码窃取自不相关的服务,而不是Dropbox。攻击者随后使用这些窃取到的信息尝试登录多家互联网网站,包括Dropbox。我们拥有措施去探测可疑登录活动,并且会在这种情况发生时自动重置密码。
由于类似这样的攻击,我们强烈建议用户不要在多个服务之间使用同样的密码。为了加强安全性,我们总是建议用户启用帐号的两步验证机制。
在较早提供给科技博客 TheNext Web的一篇公告 中,Dropbox表示,该公司此前已经检测到了这样的攻击。此外,“被公布的绝大部分密码都已经过期一段时间”:
Dropbox没有遭到黑客攻击。这些用户名和密码窃取自其他服务,被用于尝试登录Dropbox帐号。我们此前已经探测到这样的攻击,而被公布的绝大多数密码都已经过期一段时间。所有其他密码也都已经过期。
目前尚不清楚,其他哪些网站或服务是此次账号信息泄露的来源。不过Dropbox的公告确认,最初发布的一批账号密码确实是真实的登录信息。不过,Dropbox目前已经对这些帐号密码进行了重置。Dropbox同时表示,没有实际帐号由于此次的信息泄露而遭到攻击。
如果仅仅是由于用户在不同网络服务之间使用同样的用户名密码,那么Dropbox关于该服务没有被黑客攻破的说法是站得住脚的。不过最终结果,即用户帐号被攻破,仍是相同的。
要求用户启用额外的信息安全措施,例如两步验证机制,将有助保护帐号免受此类攻击,给用户的密码安全带来更好的保护。但很明显,启用这些措施将导致用户在使用过程中面临更复杂的状况。因此,信息安全和便捷性之间的矛盾仍将持续。(考虑到黑客希望通过比特币捐款赚快钱,以及随后并没有类似的信息公布。)
Dropbox 本周早些时候 也引起过外界关注。当时,美国国家安全局(NSA)前雇员爱德华·斯诺登(EdwardSnowden)将Dropbox描述为“对隐私保护怀有敌意”。斯诺登表示,Dropbox能够获取你的数据。这是许多网络服务存在的另一种信息安全问题。
斯诺登向互联网用户警告称,Dropbox没有保护他们的隐私,因为该公司持有加密秘钥,因此可以在政府的要求下提供保存在其服务器上的用户数据。他建议用户停用Dropbox,改用不保存任何加密密钥(因此无法读取你数据)的云存储服务,例如Dropbox的竞争对手SpiderOak。(译:维金)
Dropbox Confirms Compromised Account Details But Says Its Servers Weren’t Hacked