雲端儲存服務公司Dropbox日前傳出資料遭竊,導致許多用戶收到可疑郵件,Dropbox在7/31回應該事件,說明此意外是因為該公司一名員工在其他網站的帳號、密碼遭竊,讓駭客藉此登入該員工的Dropbox帳戶,取得含有Dropbox用戶的E-mail檔案,並藉機散播病毒郵件。
由於近來許多Dropobox用戶在論壇上反應收到垃圾郵件,並表示此E-mail僅作為Dropbox使用,推測可能是Dropbox有安全漏洞,這些用戶主要來自德國、荷蘭和英國。接獲用戶反應後,Dropobx尋求外部安全顧問團隊展開調查,結果發現,內部系統並未遭入侵,而是因為另一個網站遭駭的關緣故。
Dropbox工程師Aditya Agarwal在部落格上說明了事件經過。駭客在另一個網站取得了數個用戶的帳號與密碼,然後嘗試用相同組合登入Dropbox,其中恰巧有一名Dropbox員工,且使用了同樣的帳號密碼,所以才造成了此次意外事件。
此外,Agarwal也表示,Dropbox將會增加其他防護措施,避免未來再度發生這樣的情形,包括預計在未來數周內將登入方式改為雙重認證(Two Factor Authentication)機制,要求使用者除了輸入帳號密碼外,還要輸入手機認證碼。另外,Dropbox也計畫提供一個新的網頁,提供使用帳號的登入記錄,以及其他自動偵測機制以協助判斷可疑登入行為,或是當使用者太久沒有變更密碼時,系統會發出通知提醒密碼變更。
雖然該資料外洩事件並非Dropbox所引起,不過Dropbox顯然也有所疏忽。資訊安全廠商Vormetric產品行銷資深總監Todd Thiemann表示,被竊取的檔案中包括大量用戶的E-mail,這應該被視為很機密的檔案,最好要加密儲存。此外,企業必須重新評估和規範,究竟哪些是機密資料、需要被保護,雖然E-mail不像信用卡資料一樣敏感,但被竊取後也可能帶來一樣甚至更嚴重的衝擊。
Dropbox資料外洩事件也再度突顯,在不同網站使用相同帳號密碼所帶來的風險。安全公司Sophos提醒使用者,在不同網站申請服務時,必須使用獨立密碼,以避免某一網站遭受駭客攻擊,而導致後續的連鎖效應。若用戶要將機密資料存在Dropbox上時,Sophos也建議最好先將資料加密。
另一方面,雲端儲存安全的議題也再度浮上檯面。在Sophos今年四月發布的一份報告中,強化雲端儲存安全被列為2012年十大資料安全保護重點之一,因為愈來愈多使用者將重要資料存在雲端,使其成為駭客攻擊新目標,當組織採用雲端運算服務時,不僅要關注裝置端的安全保護,也同時要強化資訊流的加密與安全。