Dropbox入侵外洩事件所遺留的疑點

作者：趨勢科技資深分析師Rik Ferguson

在7月18號，Dropbox宣稱他們開始調查有使用者聲稱在只跟Dropbox帳號有連結的電子郵件信箱裡收到垃圾郵件(SPAM)電子郵件的事件。兩個星期過後，這其中的問題似乎已經被釐清了。

Dropbox表示：「最近其他網站被盜的使用者名稱和密碼可以被用來登入到少數的Dropbox帳號」。而其中一個被不當存取的帳號正好屬於Dropbox員工，「裡面含有帶使用者電子郵件地址的專案文件」。他們相信垃圾郵件(SPAM)

是因此而來的。

對我來說，這項消息跟它被處理的方式裡面有幾個真正重要的問題。Dropbox工程師在「專案文件」裡使用真正的客戶資料，為什麼，不是應該用假資料嗎？而這份文件可以被存取，看起來是因為Dropbox員工將公司帳號密碼重複使用在其他被入侵的網頁服務上。他們沒有指明是哪些服務，但再次地，為什麼呢？

其次，Dropbox選擇透過電子郵件去通知被外洩的使用者，郵件內包含一個連結去重設密碼。這做法跟我們一直以來建議使用者不要去點來路不明郵件內的連結相衝突，尤其是那些要求你連上某個網站去輸入認證資料的郵件。總的來說，根據使用者回報，首頁上沒有出現對這次攻擊事件的說明，也沒要求使用者變更密碼，這樣子讓他們送出的密碼重置信件的可信度產生了問題。比較理想的作法是，受影響的組織可以發送電子郵件通知，但不是提供密碼重置連結，他們應該引導使用者到公司首頁，並在那裡提供進一步的資訊。

最後，Dropbox表示，因為被入侵的結果，有些使用者的密碼會被重設（「在某些狀況下，我們會要求你變更密碼（例如，如果它是個常見密碼或已經很長一段時間沒有變更）」）。問題是，Dropbox要如何知道一個使用者的密碼是個「常見密碼」呢？他們是用明文儲存密碼的嗎？他們儲存密碼是用未加料的雜湊值（unsalted hash）嗎（就像LinkedIn）？他們對每個使用者都加一樣的料，還是他們設計雜湊演算法時注重速度更勝於安全呢？如果以上任一點屬實，那麼他們的密碼資料庫就很容易遭受彩虹表（rainbow table）攻擊，這可不是件讓人放心的事情。

理想上，儲存使用者密碼時，應該為每個使用者都加獨特的料，而在設計雜湊程序時也要採用可以加入「工作因子（work factor）」的演算法（像是Blowflish）。這會大大增加破解個人密碼的時間，因為工作因子是可變動的，可以進行修改以跟上電腦運算能力的進步。只要增加工作因子就可以讓雜湊演算過程變慢。對單一運算的影響是微不足道，但想利用彩虹表攻擊來進行大規模運算就變得不大可能了。

很高興聽到Dropbox會替使用者實施雙因子認證，還有他們所宣布的其他的安全加強措施。但這次消息跟他們的處理方式還是留下了許多疑點。

除此之外，Dropbox的使用者現在要小心會利用Dropbox做餌的釣魚攻擊了。犯罪份子一定會想到去利用它的。而且這件事也告訴了我們，為什麼應該要在每個網路帳號都使用不同的密碼。如果你無法信任你的服務供應商，你就必須會自己的安全負責。

＠原文出處：Dropbox Breach leaves unanswered questions

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁上按讚：https://www.facebook.com/trendmicrotaiwan