黑客入侵Dropbox盜取逾6800萬組帳戶

最近Dropbox向用戶發出電郵要求更改密碼，揭發原來Dropbox於2012年被黑客入侵，被偷取6,800萬組帳戶，未知有多少用戶受影響，有保安專家直言失竊數量大，反映是Dropbox問題，跟用戶無關，但建議用戶盡快更改密碼，為帳戶「換鎖」。

上星期Dropbox發電郵，通知2012年起未有更改過密碼的用戶、已將他們的密碼重設。根據科技網站Motherboard指出，他們收到一系列合共5GB的檔案，當中含6,800萬組電郵地址及Dropbox密碼，該網站已獲Dropbox員工證實資料屬實。

事實上，Dropbox早前已強制要求用戶更改密碼，相信事件跟2012年數據失竊有關，而微軟區域總監Troy Hunt亦從檔案中確認，檔案內包含他和妻子的登入資訊屬真確。

雖然檔案中的密碼均有加密，但當中只有3,200萬個用較強的bcrypt加密，逾半只用較弱的SHA-1加密。Dropbox發言人指，暫未於這些帳戶發現惡意程式登入。

為了保障所有自2012年未曾更改密碼的用戶，Dropbox系統硬性規定將原本的密碼重設，令黑客基本上無法以密碼此登入；惟若傾向「一密碼走天涯」的用戶仍有危機，黑客有機會用相同組合嘗試登入其他網上平台的帳號。

趨勢科技網絡安全顧問李浩然相信，今次帳戶及密碼大量失竊，相信跟Dropbox數據庫有關，亦已修補問題後才邀請用戶改密碼；惟他指出，用戶能夠做到的不多，反之建議用戶盡快更改密碼，猶如為帳戶「換鎖」，以免被「舊鎖匙」輕易開啟。