有一名駭客周一(10/13)透過文檔共享網站Pastebin宣稱他取得了693.7萬筆的Dropbox帳號及密碼,並公布了其中的400筆,同時也號召外界捐贈比特幣,捐款愈多他就會公布愈多個人資料。Dropbox則否認該站遭到入侵,表示相關資訊是由第三方服務所外洩。

相關連結:PastebinDropbox聲明

Dropbox對外聲明,該站並沒有被駭,這些使用者名稱與密碼都是自第三方服務所竊取,以用來嘗試登入Dropbox帳號,他們之前就已偵測到相關的攻擊,而且被揭露的密碼中,大多數皆已過期,其他未被公布的密碼大部分也已經過期。

Dropbox還表示,諸如此類的攻擊,也是為何我們強烈建議使用者不要在不同的服務使用相同帳密的原因。同時,為了提供多一層的保障,也一直建議使用者要啟用雙步驟驗證。

根據外電報導,Dropbox在數月前曾得知一些可疑活動,當時便已要求使用者重設密碼。不過在Reddit社交論壇中有使用者宣稱駭客所公布的某些帳號及密碼仍是有效的。

Dropbox在2012年7月也曾證實有駭客透過其他管道取得Dropbox用戶的電子郵件帳號並用來發送垃圾郵件,促使Dropbox決定啟用雙步驟認證來加強帳號的安全,新增可自動化偵測可疑行動的系統,同時允許使用檢視自己的帳號活動。

上個月類似的事件也發生在Google身上。當時在一個比特幣資安網站的論壇上,有一俄國駭客釋出近500萬筆Gmail用戶帳號資料, Google安全研究小組立即對外消毒表示,這種資安界名為「憑證傾倒」(credential dump)的現象,並非出於Google系統被入侵。這類資料往往都是透過其他管道,例如,使用者若在很多個網站上使用同一組帳密,只要其中一個網站被駭,就會被拿來登入其他網站。或者也可能是攻擊者利用惡意程式或釣魚攻擊取得帳密資料。(編譯/陳曉莉)

相關報導:俄國駭客驚爆近500萬筆Gmail帳密,Google緊急消毒

 

熱門新聞

Advertisement