2012年7月18日,Dropbox宣称他们开始调查有用户声称在只跟Dropbox帐号有连接的电子邮箱里收到垃圾邮件的事情。两星期过后,这其中的问题似乎已经被理清了。
Dropbox表示:“最近其他网站被盗的用户账户名和密码正好可以被用来登录到少数Dropbox账户”。而其中一个被恶意访问的账户正好属于Dropbox员工,“里面含有带用户电子邮件地址的专案文件”。他们相信垃圾邮件是因此而来的。
对我来说,这消息本身,以及最终的处理方法里还有几个真正重要的问题没有搞清。Dropbox工程师在“专案文件”里使用真实的客户资料?为什么?这种东西不是应该用假资料吗?而这份文件可以被访问的原因,看起来是因为Dropbox员工将公司帐号密码重复使用在其他被入侵的网页服务上。他们没有指明是哪些服务,但再次地,为什么呢?
其次,Dropbox选择通过电子邮件通知被外泄的用户,邮件内包含一个重设密码的链接。这种做法和我们一直以来建议用户不要点击可疑邮件内链接的建议相冲突,尤其是那些要求你访问某个网站,并输入认证信息的邮件。总的来说,根据用户的汇报,Dropbox官网首页上没有出现对这次攻击事件的说明,也没要求用户更改密码,这就让他们发出的密码重置邮件的可信度产生了疑问。这方面比较理想的作法是,受影响的组织可以发送电子邮件通知,但不要提供密码重置链接,他们应该引导用户访问公司首页,并在那里提供进一步信息。
最后,Dropbox表示,因为被入侵,有些用户的密码会被重设(“在某些状况下,我们会要求你变更密码(例如,如果它是个常见密码或已经很长一段时间没有变更)”)。可问题是,Dropbox要如何知道一个用户的密码是“常见密码”呢?他们是用明文储存密码的吗?他们储存密码是用未加料的哈希值(Unsalted hash)吗(就像LinkedIn)?他们对每个用户都加一样的料,还是他们设计哈希算法时注重速度更胜于安全呢?如果以上任一点属实,那么他们的密码数据库就很容易遭受彩虹表(Rainbow table)攻击,这可不是件让人放心的事情。
理想情况下,储存用户密码时,应该为每个用户都加独特的料,而在设计哈希程序时也要采用可以加入“工作因子(Work factor)”的算法(例如Blowflish)。这会大大增加破解个人密码所需的时间,因为工作因子是可变的,可以进行修改,以便跟上电脑运算能力的进步。只要增加工作因子就可以让哈希演算过程变慢。这对单一运算的影响微不足道,但想利用彩虹表攻击来进行大规模运算就变得不大可能了。
很高兴听到Dropbox会替用户实施双因素认证的消息,还有他们所宣布的其他安全方面的改进措施。但这次消息与他们的处理方式还是留下了许多疑点。
除此之外,Dropbox的用户现在要小心会利用Dropbox做饵的钓鱼攻击了。犯罪份子一定会想到去利用的。而且这件事也告诉我们,为什么应该在每个网络帐号都使用不同的密码。如果无法信任你的服务供应商,那就必须为自己的安全负责。 |
