到现在,您可能在一生中都想听到更多次“前一天,再一次黑客"一词,但是随着它的出现,将其添加到列表中的时间越来越多,因为出现了惊人的6,800万个Dropbox帐户
您可能还记得2012年,有人猜测Dropbox被黑了。当时Dropbox否认采取了除“带有用户电子邮件地址的项目文档"之外的任何其他方式。
截至2016年8月,已确认超过6800万用户帐户显然,2012年中之前创建的Dropbox 已与相关密码一起在线泄漏。
在撰写本文时,仍不清楚如何或为什么泄露的信息已经花费了四年的时间,但现在已经有了,Dropbox采取了预防措施,通过电子邮件将他们认为受到影响的帐户发送电子邮件,并提示您重置密码。
我们所知道的
2012年,Dropbox宣布由于员工在内部系统上重用了他们以前在LinkedIn上使用的密码而导致的一些用户数据被盗-本身在2012年会遭受数据泄露。
当时Dropbox说黑客只访问了包含客户e的项目文档邮件地址。这导致大量垃圾邮件直接投向Dropbox用户,结果,Dropbox不得不调查并添加其他安全功能。
-Marc Rogers(@marcwrogers),2016年8月27日
Dropbox泄漏一直到2016年8月中旬,所有人都安静下来,当时Dropbox开始发送电子邮件,指出自2012年中以来未更改密码的客户将在下次登录时被提示。但是,没有明确提及黑客入侵或泄漏,Dropbox也没有报告发送此电子邮件的用户数量。
在这些电子邮件发送不久后,母板获得了大约5GB的存储空间似乎包含将近6900万Dropbox用户的电子邮件地址和加密密码的数据。早在2012年发生骇客入侵时,Dropbox的使用者人数就已达到1亿,因此这次泄密事件占当时使用者总数的三分之二以上。
网站创始人Treoy Hunt(我被人拥有) (HIBP)通过在数据中找到他和他的妻子的凭据来确认黑客的合法性。然后,他继续通知受泄漏影响的114136名HIBP用户。
Dropbox发表声明,确认泄漏中包含的数据来自2012年的漏洞,并且密码重置为“保护[ed]所有受影响的用户…此重置仅影响[ed]在2012年中之前注册Dropbox且自此之后未更改密码的用户。"他们还评论说,他们采取的措施“保护了所有受影响的帐户和[他们的情报显示,该范围在60+百万之间。"
在与Dropbox联系以确认违规范围后,我们被告知“ [他们没有证据表明对这些帐户的访问不当"
The Hack —它有多糟糕?
任何数据泄露都是个坏消息,可能会将用户的电子邮件地址和密码发布到互联网上
但是,Dropbox骇客一线希望来自他们对密码的加密。尽管在被黑客入侵时内部密码安全性似乎很松懈,但Dropbox实际上已经开始采取措施,通过使用bcrypt(最安全的哈希算法之一)加密所有数据来增强其密码安全性。
但是,请注意,在被黑客入侵时,只有(大约)一半的密码移至了bcrypt,其余的3400万则使用了安全性较低的SHA-1加密。这些密码也不会丢失所有内容,因为Dropbox已经为SHA-1密码添加了盐,并添加了随机文本字符串以使密码更难解密。
此保护措施可以防止任何恶意类型的密码被盗能够解密密码,但这不是一定要采取的措施,您绝对应该采取措施保护自己免受黑客攻击,并检查自己的安全性,以确保将来的在线自我安全。<
更改您的保管箱密码
尽管Dropbox已经为受影响的帐户执行了密码重置,但是重置密码是值得进行的练习,尤其是如果您有一段时间没有更改密码了。
Dropbox帐户安全性
Dropbox中有一些安全设置,可帮助您保护帐户。您可以在帐户设置中启用两因素身份验证(2FA)。输入电话号码后,Dropbox会通过SMS向您发送限时的唯一代码,您尝试登录时需要输入该唯一代码。
您还可以查看哪些设备具有已被授权通过Dropbox移动或桌面应用访问您的帐户。会话将显示哪些浏览器已登录到您的Dropbox帐户。
如果您不识别任何会话或设备,则可以单击右侧的 x 进行删除它们,并从您的帐户中删除访问权限。如果您想做到周全,即使您没有发现任何可疑的内容,也可以删除所有会话和设备,然后只需登录到所用设备上的应用即可。
在任何地方启用2FA
大多数主要站点都支持两因素身份验证,这是在遭受黑客攻击时保护自己的最佳方法之一。如果无法访问您或您的电话,黑客将无法登录您的帐户。
如果不确定所使用的网站是否支持两因素身份验证,可以使用两因素进行检查Auth,该数据库维护着所有受支持站点的数据库。
更改任何重用的密码
密码泄漏是个坏消息的主要原因之一是,许多人经常在
Dropbox甚至承认此问题,并指出“虽然Dropbox帐户受到保护,但可能在其他站点上重复使用密码的受影响用户应采取措施来保护自己在这些站点上的安全。"
启用2FA后,最好的预防措施是确保在每个站点上都使用唯一的强密码。这包括检查并确保您没有在其他任何帐户上重复使用Dropbox密码。
使用密码管理器
我们重复使用密码的主要原因之一是因为往往很难记住它们。幸运的是,密码管理器已出现在现场,可以帮助您管理较长的密码列表。
虽然每个密码管理器略有不同,但它们都会存储您的密码,其中一些还提供安全的密码生成功能。
Lastpass安全挑战
HaveIBeenPwnd
我们提到,Have I Been Pwnd的创始人Troy Hunt是第一个通过验证Dropbox泄漏来确认他的人之一以及数据中妻子的详细信息。然后,他向所有受影响的HIBP订阅者发送了电子邮件。
订阅无需花费任何费用,您所需要做的就是输入您的电子邮件地址,如果Hunt曾获得过您帐户中包含精选帐户的数据,泄漏,那么HIBP服务将向您发送一封电子邮件,提醒您。这项服务没有任何缺点,它是保持任何新漏洞的最佳方法之一。
Dropbox不是第一个……而且也不是最后一个
骇客,资料外泄和密码外泄已成为2016年数位生活的一部分。LinkedIn和臭名昭著的Ashley Madison等网站备受瞩目,其中还有不计其数的事。
最好的建议是确保您采取积极措施来保护您的帐户和数字身份,以便在不可避免的情况下发生另一个站点被黑并暴露密码的情况,从而为您提供最佳保护。
图片来源:通过Shutterstock的Raxpixel.com ,通过Shutterstock.com的 welcomia
标签: Dropbox 密码管理器 安全漏洞 Two-要素认证