Dropbox 2012年遭駭，6800多萬帳號密碼外洩

Motherboard報導，Dropbox在2012年遭駭，導致超過6800萬用戶密碼外洩，雖然Dropbox當時即已公佈入侵，但直到最近才知道受影響用戶的規模。Dropbox在上周發佈預防措施，要求用戶更新密碼。

Motherboard從資料庫交易黑市消息人士手上拿到4份檔案，包括Dropbox用戶的電子郵件和經雜湊處理的密碼，檔案總計5GB，牽涉68,680,741 個用戶帳號。

Dropbox於上周也坦承此事，表示在該公司安全團隊長期調查後，發現一批早年的用戶資料（包括電子郵件和經雜湊及加碼（salted）處理的密碼）可能在2012年遭竊。Dropbox分析發現這些資料與4年前該公司公佈的入侵事件有關。

Dropbox表示，依據威脅監控及該公司做的密碼防禦措施，未發現有用戶帳號被不當存取的跡象。為以防萬一，Dropbox上周並進行預防性密碼重設措施，系統會在2012年中之前註冊Dropbox而一直未變更密碼的用戶下次登入時要求更新密碼。

這批用戶資料經Dropbox員工及專家證實為有效帳號資料。但報導指出，曝光的6000多萬帳戶資料中，將近3200萬密碼以bcrypt密碼雜湊保護，其他的則採用較弱的SHA-1，而這些雜湊也都進一步經過加碼處理，降低被破解的機率。

資料外洩事件頻傳，光是今年上半就有LinkedIn、MySpace、Tumblr 及VK.com等知名服務相繼傳出數年前上千萬筆資料遭竊而被散佈或賣入駭客集團手中，引發Twitter或臉書等帳戶連環被駭事件，連臉書執行長Mark Zuckerberg也難倖免於難。