Dropbox被駭？駭客宣稱取得700萬筆帳密資料並公布部份名單
有一名駭客周一（10/13）透過文檔共享網站Pastebin宣稱他取得了693.7萬筆的Dropbox
帳號及密碼，並公布了其中的400筆，同時也號召外界捐贈比特幣，捐款愈多他就會公布
愈多個人資料。Dropbox則否認該站遭到入侵，表示相關資訊是由第三方服務所外洩。
Dropbox對外聲明，該站並沒有被駭，這些使用者名稱與密碼都是自第三方服務所竊取，
以用來嘗試登入Dropbox帳號，他們之前就已偵測到相關的攻擊，而且被揭露的密碼中，
大多數皆已過期，其他未被公布的密碼大部分也已經過期。
Dropbox還表示，諸如此類的攻擊，也是為何我們強烈建議使用者不要在不同的服務使用
相同帳密的原因。同時，為了提供多一層的保帳，也一直建議使用者要啟用雙步驟驗證。
根據外電報導，Dropbox在數月前曾得知一些可疑活動，當時便已要求使用者重設密碼。
不過在Reddit社交論壇中有使用者宣稱駭客所公布的某些帳號及密碼仍是有效的。
Dropbox在2012年7月也曾證實有駭客透過其他管道取得Dropbox用戶的電子郵件帳號並用
來發送垃圾郵件，促使Dropbox決定啟用雙步驟認證來加強帳號的安全，新增可自動化偵
測可疑行動的系統，同時允許使用檢視自己的帳號活動。
上個月類似的事件也發生在Google身上。當時在一個比特幣資安網站的論壇上，有一俄國
駭客釋出近500萬筆Gmail用戶帳號資料， Google安全研究小組立即對外消毒表示，這種
資安界名為「憑證傾倒」（credential dump）的現象，並非出於Google系統被入侵。這
類資料往往都是透過其他管道，例如，使用者若在很多個網站上使用同一組帳密，只要其
中一個網站被駭，就會被拿來登入其他網站。或者也可能是攻擊者利用惡意程式或釣魚攻
擊取得帳密資料。（編譯/陳曉莉）
iThome
http://www.ithome.com.tw/news/91538