Dropbox密码泄露影响6800万用户

日期:2016-9-27作者:Peter Loshin翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

Dropbox确认在2012年的泄露事件里6800万用户的身份信息被泄露,并且它会持续提醒用户更新密码,避免密码被重用,同时启用双因素身份认证。

该云存储供应商一直在淡化该新闻的影响,声称还没有足够证据表明Dropbox密码的泄露导致账户被入侵。Dropbox上周强制那些自从2012年以来就没有变更过密码的用户重置密码。最初Dropbox泄露事件发生在2012年,当时黑客使用从其他网站偷到的密码来获得这些密码的Dropbox账号登录权限,其中包括一个Dropbox员工的账号。

“自从我们披露这件事件开始,从2012年以来已经收到了很多报告,大概有6,800万Dropbox的认证信息被泄露。带有随机生成密码的邮箱地址都是真实的,但是,没有证据表明Dropbox的用户账户被恶意访问过,” Dropbox的受信和安全主管Patrick Heim在博客里这么说。

“根据我们的分析,这些身份认证信息很可能是2012年获取的。我们在两周前第一次听到关于这些事情的一些消息,并且立即启动了调查。随后我们给我们认为受到影响的所有用户发送了邮件,并且为那些自从2012年以来就没有更新过密码的用户重置了密码。这样的重置确保即使这些密码被破译了,黑客仍然无法使用这些密码访问Dropbox账号。”

Heim还警告用户避免在不同的网站或者服务里重用相同的密码,并且重申了使用复杂密码同时启用双因素身份认证的重要性。他还提醒用户“警惕垃圾邮件或者钓鱼邮件,因为邮箱地址会包含在列表里。”

专家评价泄露事件

同时,安全专家对Dropbox密码泄露事件的响应分成了两派。Matthew Gardiner,沃特敦的一家邮件安全公司Mimecast的网络安全战略师,通过邮件告诉SearchSecurity,“显然Dropbox是很多企业网络上的明显漏洞。”

“企业需要给其员工提供安全的替代方案,从而在企业级共享大型文件,”Gardiner说。“如果员工没有更好的选择,他们就会使用多个供应商的产品,且创建多个账户,这些账户都没有安全地监控。”

另外一些专家则赞扬了泄露事件的处理回应,同时也指出依赖于密码的战略的薄弱之处。“Dropbox看上去在用户数据安全保护上做得很好,加密密码并更新了加密标准,” Ryan Disraeli说,他是总部位于加利福利亚,玛丽安德尔湾的移动身份认证公司TeleSign的联合创始人和副总裁。但是,他还补充道,“我们发现即使使用了很好的保护措施,仅有密码保护仍然是不足的。密码太容易被破解,这使得额外的安全层完全不起作用。因为很多泄露的密码是加密的,所以密码方案仍然是相对安全的。但是,如我们所见,大多数用户实际上在很多账号间公用一些安全性很差的密码,并且不会周期性地更新。”

Gardiner注意到文件共享服务,比如Dropbox,当员工账户被入侵时,给企业带来了安全威胁。“一旦某个账号被入侵,它就可能被当做攻击向量向网络里提交恶意链接,”他说。“虽然它看上去像是来自于员工知道的某个人发送的邮件,但是它可能是病毒或者勒索软件,可能会摧毁企业整个系统。”

Adam Levin,他是总部位于斯科茨代尔的一家身份认证保护服务IDT911 LLC公司的主席和创始人,注意到虽然绝大多数泄露的Dropbox密码看上去仍然是安全的,因为使用了强大的哈希算法,但是邮件地址仍然能够暴露敏感数据。“邮箱地址是我们数字身份认证的基石,因为它们通常包含重要的名称以及/或者数字,比如你的生日、大学或者工作。”

“所有这些信息都是很小的信息来源,黑客可能据此猜出密码并且回答安全问题,来访问更多的敏感信息,”Levin说。“邮件地址还通常作为很多其他账号的用户ID,比如财务服务或者社交网络网站,还不用说提供了多种钓鱼攻击的上下文。因此,可能的灾难很可能不仅仅限于Dropbox。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

公共云计算服务>更多

  • 问问工作负载适合谷歌云实例吗?

    并不是所有的工作负载都是相同的——有些需要更多的CPU资源,而其他的一些则需要更多的内存资源。值得庆幸的是,谷歌云实例类型为企业用户提供了众多选项。

  • 大型云提供商:你已被SMB拒之门外

    企业市场已经越来越集中于少数超大型云提供商手中,提供广泛的服务和引人注目的价格结构。然而,这些巨头们可能无法给一些企业,尤其是小型到中型企业,提供快速的支持和扶持。

  • 初探云供应商责任共担模式,你认为靠谱吗?

    随着云计算应用的不断增长,对于数据保护和网络安全的责任共担模式概念也逐渐地深入人心。虽然责任共担模式并不是一个新的概念,但是安全责任共担本质已随着云而发生了变化。

  • 云数据中心:云供应商之间的一场军备竞赛

    云主流供应商们在2016年花费了数十亿美元用于扩张他们的云数据中心,以求提升他们的全球影响力、解决接近度和数据驻留问题。

相关推荐

  • 如何缓解影子云服务安全风险?

    根据需求,大多数企业允许数据存储在多个可信的云服务中,如Office 365、Dropbox、Google Drive或一个主要的基础设施即服务提供商那里。

  • 更换云存储服务供应商需付成本代价

    虽然公共云存储有其优势,例如所用即所付的定价模式和无限增长的可用资源等,但它也是有其缺点的。

  • 2014年云存储战场如何?

    越来越多的企业人开始使用云存储来作为他们存储数据和备份的方法,甚至有人已经把云存储作为了主要的存储方法。这多亏了云计算技术的可靠性的不断改进。

  • 在线文件共享应用安全与可用性平衡的艺术

    在线文件共享应用,比如Dropbox由于其易用性在大型组织机构中站稳了脚跟。同时,它们也因为安全问题,为企业IT所厌恶。现在这些同步和共享厂商努力找出企业安全特性和易用性之间的平衡。

技术手册>更多

  • 主流云计算服务模式安全攻略

    毫无疑问,云计算具备了众多的好处。从规模经济到应用可用性,云计算绝对能够为您的应用环境带来一些积极的因素。如今,在广大云计算供应商和支持者的推崇下,众多企业用户已开始跃跃欲试。但是,对于公共云计算平台而言,无论是SaaS(软件即服务)、IaaS(基础设施即服务),还是PaaS(平台即服务),都无法拿出真正可靠的云安全方案来。而对于私有云而言,也不同程度地面临着类似的问题,这也正是广大用户最为担心的方面。本手册为用户介绍如何在SaaS、IaaS及PaaS模式下保证应用和数据的安全性。

  • 云计算服务水平协议SLA教程

    服务等级协议是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。SLA概念已被大量企业所采纳,作为公司IT部门的内部服务。大型企业的IT部门都规范了一套服务等级协议,以衡量、确认他们的客户(企业其他部门的用户)服务,有时也与外部网络供应商提供的服务进行比较。目前,许多IT经理正在考虑把许多应用及服务迁移进云端。一部分人因为经济原因被迫考虑云计算,而另外一部分人考虑提供一些新的IT服务。不管怎样,IT经理目前以及不久的将来不得不面对服务等级协议(SLA)。

  • 下一代数据中心交换网络:云计算虚拟化交换网络

    下一代数据中心交换网络:云计算虚拟化交换网络。在云计算漫漫之旅上,虚拟化将是我们建设架构即服务云不得不跨越的一道坎,而大规模部署虚拟化更是给传统数据中心管理模式、服务器、存储和网络架构规划管理带来巨大的挑战。

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心