Dropbox被骇？骇客宣称取得700万笔帐密资料并公布部份名单
有一名骇客周一（10/13）透过文档共享网站Pastebin宣称他取得了693.7万笔的Dropbox
帐号及密码，并公布了其中的400笔，同时也号召外界捐赠比特币，捐款愈多他就会公布
愈多个人资料。Dropbox则否认该站遭到入侵，表示相关资讯是由第三方服务所外泄。
Dropbox对外声明，该站并没有被骇，这些使用者名称与密码都是自第三方服务所窃取，
以用来尝试登入Dropbox帐号，他们之前就已侦测到相关的攻击，而且被揭露的密码中，
大多数皆已过期，其他未被公布的密码大部分也已经过期。
Dropbox还表示，诸如此类的攻击，也是为何我们强烈建议使用者不要在不同的服务使用
相同帐密的原因。同时，为了提供多一层的保帐，也一直建议使用者要启用双步骤验证。
根据外电报导，Dropbox在数月前曾得知一些可疑活动，当时便已要求使用者重设密码。
不过在Reddit社交论坛中有使用者宣称骇客所公布的某些帐号及密码仍是有效的。
Dropbox在2012年7月也曾证实有骇客透过其他管道取得Dropbox用户的电子邮件帐号并用
来发送垃圾邮件，促使Dropbox决定启用双步骤认证来加强帐号的安全，新增可自动化侦
测可疑行动的系统，同时允许使用检视自己的帐号活动。
上个月类似的事件也发生在Google身上。当时在一个比特币资安网站的论坛上，有一俄国
骇客释出近500万笔Gmail用户帐号资料， Google安全研究小组立即对外消毒表示，这种
资安界名为“凭证倾倒”（credential dump）的现象，并非出于Google系统被入侵。这
类资料往往都是透过其他管道，例如，使用者若在很多个网站上使用同一组帐密，只要其
中一个网站被骇，就会被拿来登入其他网站。或者也可能是攻击者利用恶意程式或钓鱼攻
击取得帐密资料。（编译/陈晓莉）
iThome
http://www.ithome.com.tw/news/91538