• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:358

●重點摘要：
1. 外傳駭客已掌握當年Dropbox於2012年外洩事件中超過6800萬筆個資，並可能將於暗網黑市兜售。
2. Dropbox最初在2012年外洩事件裡僅公告某員工用於存取用戶的電子郵件地址檔案的密碼遭竊，並未告知駭客也能竊取其中密碼。
3. 在資料庫交易社群裡，Dropbox外洩的資料包含電子郵件地址和雜湊式密碼高達約5GB。
4. Dropbox員工表示其中3200萬筆的雜湊式密碼是以隨機方式為每組密碼「加料」（salt）進行BCrypt加密，其餘則以SHA-1雜湊演算法加密，駭客應較難獲得真正密碼。
5. Dropbox已確認為外洩的帳密為有效資料，並針對受影響用戶於本周稍早前發送重設密碼信件。

●TWCERT/CC 建議Dropbox用戶盡快重設該平台和與其他網路服務有共用相同的登入密碼，並平時應保持不同網路服務使用不同登入密碼之習慣，以免遭駭客利用。

攻擊手法： 未知

參考連結： http://thehackernews.com/2016/08/dropbox-data-breach.html