マイキー・キャンベル
· 1分で読めます
ドロップボックスは、2012年のデータ侵害で6,800万以上のアカウントの認証情報が漏洩したという報告を認めたが、社内調査で不正なアカウントアクセスの兆候は見つからなかったと指摘している。
Dropboxは先週、2012年半ば以前に同サービスに登録し、それ以降パスワードを変更していない顧客に対し、次回サインイン時にパスワード変更を強制する旨のメールを送信した。同社は当時、リセット手順に関するFAQウェブページを設け、この措置は「あくまで予防措置」であると述べた。
その後、火曜日にマザーボードが報じたところによると、2012年に既に公表されたデータ侵害により、メールアドレスやハッシュ化(ソルト化)されたパスワードを含む、Dropboxアカウント68,680,741件の詳細情報が公開されたという証拠があるという。クラウドストレージ企業は本日、これに反論した。
「ハッシュ化およびソルト化されたパスワードが設定されたメールアドレスのリストは実在しますが、Dropboxのユーザーアカウントが不正にアクセスされたという兆候はありません」と同社は述べた。「このような事態が発生したことを大変遺憾に思います。現状を明らかにしたいと思います。」
Dropboxは2週間前、ユーザーの認証情報リストが出回っているという噂を耳にしたと発表しました。調査の結果、今回確認されたアカウント情報は、2012年のデータ侵害の際に密かに入手された可能性が高いと結論付けました。盗まれたパスワードが悪用されることを防ぐため、Dropboxは一部のユーザーに対して強制的にパスワードリセットを実施し、その後、新しいポリシーについて顧客に通知を送信しました。
マザーボードによると、リストされている約3,200万件のパスワードはbcryptハッシュ関数を使用して保護されており、残りのパスワードはソルト付きSHA-1ハッシュとみられるものを使用して暗号化されています。完全に安全ではありませんが、これらの保護は解読がかなり困難です。
とはいえ、複数のサービスで同じパスワードを使い回している人もいます。不運なユーザーのメールアドレスとパスワードが別の侵害で漏洩した場合、理論的にはそれらのデータが照合され、その人のDropboxアカウントにアクセスできる可能性があります。また、ソルト化されたDropboxパスワードをハッカーが解読できれば、その逆も可能です。そのため、Dropboxはユーザーに使い回しているパスワードの変更を推奨しています。
同社はまた、リストに電子メールも含まれていたため、スパムやフィッシング詐欺に注意するようユーザーに警告している。
