2012 年の Dropbox ハッキングで 6,000 万以上のアカウントが標的に

Dropbox が 2012 年半ば以来、ログイン資格情報を変更していないユーザーに対して パスワードのリセットを強制した 後（同年同社がハッキングに直面したため）、ユーザーデータ漏洩の範囲を詳述する新たな情報が最近明らかになった。

Motherboard が入手したファイルのコレクションによると、影響を受けたユーザーベースの電子メール アドレスとハッシュされたパスワードが含まれており、2012 年のハッキングでは合計 68,680,741 個の Dropbox アカウントが標的にされることに成功しました。 Dropbox が先週、予防的なパスワード リセット措置を実施すると発表したとき、同社は 4 年前のハッキングによってユーザーがどの程度の影響を受けたかについては何も示唆しなかった。

Dropbox が言う「事件」とは、 2012 年の夏 に発生したデータ侵害で、数人のユーザーが Dropbox アカウントに接続されているメール アドレスに送信されたスパムを報告し始めました。他の Web サイトに接続されたパスワード ハッキングにより、ハッカーは「少数の」Dropbox アカウントにサインインできました。その中には、一連のユーザーの電子メール アドレスが記載された文書にアクセスできた従業員のアカウントも含まれていました。

Dropboxは、先週のユーザーへのメッセージが「影響を受ける可能性のあるすべてのユーザー」を対象としたものであると確信しており、以前にDropboxに使用していたものと同じログイン情報、特にパスワードを持つ他のサービスのパスワードを引き続きリセットするようユーザーに奨励している。

「先週完了した事前のパスワード リセットが、影響を受ける可能性のあるすべてのユーザーに適用されたことを確認しました」と Dropbox の信頼およびセキュリティ責任者であるパトリック・ハイム氏は述べています。 2012 年半ばまでは、Dropbox アカウントに不正にアクセスするために使用することはできません。 Dropbox パスワードを再利用した可能性があると思われる場合は、他のサービスでパスワードをリセットすることを引き続き推奨します。

Motherboard が発見したように、影響を受けたアカウントのうち 3,200 万近くが強力なハッシュ関数 bcrypt で保護されており、「ハッカーがユーザーの実際のパスワードの多くを入手できる可能性は低いことを意味します」。残りの半分のパスワードには、安全性が若干劣る SHA-1 エージング アルゴリズムが使用されており、さらに強化するためにランダムな文字列でソルト処理が施されていました。 2012 年以来、Dropbox はすべてのユーザーの安全を確保するために、このパスワードとアカウントのハッシュ プロセスを数回変更してきました。

マザーボードは 、収集されたユーザー ログイン データの合計 5GB に相当する 4 つのファイルがいずれもダークウェブ上のどこにも存在しないことを確認しました。また、過去 1 週間に Dropbox が講じた積極的な措置を考慮すると、その価値は時間の経過とともに「減少」し続けるでしょう。