4년 된 해킹으로 6,800만 명 이상의 Dropbox 고객의 사용자 이름과 비밀번호가 유출된 것으로 나타났습니다.
도난당한 자격 증명은 2012년 중반으로 거슬러 올라갑니다. Dropbox는 지난 주에 인정했습니다. 그 기간 이후로 비밀번호를 변경하지 않은 경우 일부 고객이 비밀번호를 재설정하도록 강요하고 있다는 것입니다.
다만, 오늘은 위반 알림 서비스 누수기지 말했다 마더보드 68,680,741명의 Dropbox 사용자 자격 증명으로 채워진 4개의 5GB 파일을 얻었습니다.
드롭박스 확인 IT 전문가 2012년 회사 사용자 기반의 약 2/3에 해당하는 6천만 개 이상의 계정이 영향을 받았습니다.
“비밀번호 재설정 범위가 우리는 지난 주에 완료 영향을 받은 모든 사용자를 보호했습니다.
"우리의 분석에 따르면 자격 증명은 2012년 중반 이전에 획득한 해싱 및 솔티드 비밀번호가 포함된 사용자 이메일 주소임을 확인했습니다."
그것은 해킹의 풍년이었습니다. 1억 1700만 사용자의 로그인 정보 LinkedIn에서 도난당했으며 텀블러 그리고 내 공간 비슷한 시기에 대규모 유출사고도 겪었다. 많은 사이버 범죄자들이 이러한 위반에서 얻은 암호 데이터를 사용하여 사용자가 암호를 재활용했을 수 있는 다른 사이트에 침입하려고 시도했습니다.
당시 드롭박스는 영향을 받은 계정은 암호 재사용을 통해 손상되었으며, 이 사건은 해커가 피해자의 Dropbox 계정에서 시도할 수 있는 자격 증명을 제공한 다른 사이트의 해킹 때문이었습니다.
그러나 해커들이 Dropbox 직원의 자격 증명을 훔쳐 "사용자 이메일 주소가 있는 프로젝트 문서"에 액세스하는 데 사용했다고도 밝혔습니다.
Dropbox는 오늘 오래된 사건에서 오늘 드러난 6,800만 개의 자격 증명 유출이 네트워크 침해가 아닌 암호 재사용을 통해 얻은 것이라고 주장했습니다.
그러나 이와 같은 데이터 침해 추적을 전문으로 하는 보안 전문가 Troy Hunt는 다음과 같이 말했습니다. IT 전문가 "의심의 여지없이 데이터는 Dropbox 시스템에서 가져온 것입니다." 그는 유출된 데이터베이스가 자격 증명 재사용의 결과일 수 없다고 주장하며 "이것이 다른 소스에서 함께 짜여진 방법은 없습니다"라고 말했습니다.
사냥 아내의 고유 암호에 대해 유출된 bcrypt 해시를 테스트했습니다. 그는 비밀번호 관리자와 Dropbox 서버에만 저장되어 있다고 주장하며 "이런 종류의 것을 조작할 수 없습니다"라고 말했습니다. 대신 그는 Dropbox 자체 시스템의 백업 또는 제대로 저장되지 않은 로그에서 데이터를 얻을 수 있다고 말했습니다.
드롭박스는 현재 진행 중인 보안 조사라고 말하며 더 이상의 해명을 거부했다. Hunt는 또한 Dropbox 고객이 즉각적인 위험에 처하지 않았다는 점을 재빨리 알아차렸습니다. Dropbox의 bcrypt 해싱 알고리즘의 탄력성과 회사가 상황.
