Dropbox用戶資料遭竊 加強認證機制

網路硬碟Dropbox用戶日前前傳出受到垃圾訊息的攻擊，Dropbox周二（7/31）證實駭客從第三方網站取得了Dropbox用戶資料，該站立即採取修復行動。

Dropbox說明，數周前開始有用戶抱怨用來申請Dropbox服務的郵件帳號不斷收到垃圾郵件，調查後發現駭客從其他第三方網站竊取了用來登入Dropbox的帳號與密碼，這批遭竊的帳號含有Dropbox的員工帳號，該名員工於Dropbox上所儲存的文件則內含使用者的電子郵件資料。

Dropbox除了主動接洽受影響的使用者外，亦準備強化該站的安全認證程序，包括預計於數周後啟用雙因素認證（Two-factor）機制，要求使用者除了輸入密碼外，也要輸入傳送至手機的代碼以進行登入，新增自動化偵測可疑行動的系統，以及提供一個新網頁讓使用者檢視其帳號活動，另外也會主動建議那些太久未更改密碼、或使用太常見密碼的用戶變更密碼。

嚴格地說來這並不是Dropbox的安全漏洞，可能是因為Dropbox員工或使用者在不同的網站使用同樣一組的帳號與密碼才導致的意外，因此Dropbox強烈建議用戶在不同的網站採用個別的密碼，同時推薦用戶使用諸如1Password等密碼管理工具以在各個網站上使用強大的密碼。（編譯/陳曉莉）