9月1日,美国云存储服务商Dropbox向外界确认,2012年发现并披露的一次数据泄露事故影响要比之前预计的更严重,估计近6900万帐号受到影响。
Dropbox表示,上周已为所有受影响用户重置了密码,这些主要是在2012年年中之前就注册了Dropbox、且此后从未修改过密码的用户。
Dropbox信任和安全负责人帕特里克·海姆(Patrick Heim)随后在一份声明中表示:“这不是新的信息安全事故。没有证据表明,Dropbox用户的帐号被不当访问。我们可以确认,上周进行的密码重置能保护所有受影响的用户。即使密码被破解,在重置后这些密码也无法用于访问Dropbox帐号。”
不过360补天漏洞响应平台负责人林伟在向界面新闻记者评价此次事件时认为,该泄露事故最大的问题在于Dropbox早就获知情况,却没有及时告知用户并提醒用户更改密码。
360补天漏洞响应平台是国内最大的漏洞响应平台,据该平台今年4月透露的数据显示,2015年该平台共收到各类漏洞43499个,共有1410个漏洞可能造成个人信息泄露,可能泄露的个人信息量高达55.3亿条。
此前,360互联网安全中心发布的2015年互联网安全报告显示,2015年全年经360网站安全检测平台扫描的231.2万个网站中,43.9%存在漏洞,12.3%存在高危漏洞。
事实上此前国外eBay、LinkedIn均发生过数据泄漏事故,国内网易邮箱也曾被曝疑泄漏过亿数据,这些事故也多以重置用户密码为应对手段。
“漏洞大家都有,国内也有小的网盘平台被黑客拖库,因为网盘存储的信息较多被黑客盯上也很正常。但Dropbox这么大的平台在发生问题后的处理方式值得商榷。”林伟表示。
不过另一方面,虽然Dropbox作为较大的平台安全系数较高,但在数据泄露事件中互联网公司往往很难掌握到底有多少数据已被泄漏。而仅仅重置了已知存在风险的帐号密码,而没有重置其他密码,对用户而言依然存在风险。
对于提供云盘服务的公司应如何避免这样的问题,林伟认为通常而言有几重防范。
首先,企业应该定期监测用户的账号密码,对其密码强度有较高要求;其次,企业安全团队应该对用户数据进行加密,以提高黑客破解的门槛。能避免被入侵最好,但如果被入侵,企业应该能够及时发现并阻止黑客把数据拖走,即使拖走了也尽量保证数据很难破解,避免大规模盗号事件发生;同时,企业应该第一时间通知用户更改密码。
通过以上几重安全机制,基本上能够较有效防范云盘信息安全。但林伟同时提醒道,作为用户不应上传敏感信息到网盘,因为网盘的数据以分享为主,个人私密信息应尽量保存在本地,实在要存储的话应加以如短信校验这样的第二重密码进行保护;其次网盘的密码应该跟别的网站密码不一样,尽量不要使用通用或弱密码。
