dropbox確認在2023年的洩露事件裡6800萬使用者的身份資訊被洩露,並且它會持續提醒使用者更新密碼,避免密碼被重用,同時啟用雙因素身份認證。
該雲儲存**商一直在淡化該新聞的影響,聲稱還沒有足夠證據表明dropbox密碼的洩露導致賬戶被入侵。dropbox上週強制那些自從2023年以來就沒有變更過密碼的使用者重置密碼。最初dropbox洩露事件發生在2023年,當時黑客使用從其他**偷到的密碼來獲得這些密碼的dropbox賬號登入許可權,其中包括乙個dropbox員工的賬號。
「自從我們披露這件事件開始,從2023年以來已經收到了很多報告,大概有6,800萬dropbox的認證資訊被洩露。帶有隨機生成密碼的郵箱位址都是真實的,但是,沒有證據表明dropbox的使用者賬戶被惡意訪問過,」 dropbox的受信和安全主管patrick heim在部落格裡這麼說。
「根據我們的分析,這些身份認證資訊很可能是2023年獲取的。我們在兩周前第一次聽到關於這些事情的一些訊息,並且立即啟動了調查。隨後我們給我們認為受到影響的所有使用者傳送了郵件,並且為那些自從2023年以來就沒有更新過密碼的使用者重置了密碼。這樣的重置確保即使這些密碼被破譯了,黑客仍然無法使用這些密碼訪問dropbox賬號。」
專家評價洩露事件
同時,安全專家對dropbox密碼洩露事件的響應分成了兩派。matthew gardiner,沃特敦的一家郵件安全公司mimecast的網路安全戰略師,通過郵件告訴searchsecurity,「顯然dropbox是很多企業網路上的明顯漏洞。」
「企業需要給其員工提供安全的替代方案,從而在企業級共享大型檔案,」gardiner說。「如果員工沒有更好的選擇,他們就會使用多個**商的產品,且建立多個賬戶,這些賬戶都沒有安全地監控。」
另外一些專家則讚揚了洩露事件的處理回應,同時也指出依賴於密碼的戰略的薄弱之處。「dropbox看上去在使用者資料安全保護上做得很好,加密密碼並更新了加密標準,」 ryan disraeli說,他是總部位於加利福利亞,瑪麗安德爾灣的移動身份認證公司telesign的聯合創始人和副總裁。但是,他還補充道,「我們發現即使使用了很好的保護措施,僅有密碼保護仍然是不足的。密碼太容易被破解,這使得額外的安全層完全不起作用。因為很多洩露的密碼是加密的,所以密碼方案仍然是相對安全的。但是,如我們所見,大多數使用者實際上在很多賬號間公用一些安全性很差的密碼,並且不會周期性地更新。」
gardiner注意到檔案共享服務,比如dropbox,當員工賬戶被入侵時,給企業帶來了安全威脅。「一旦某個賬號被入侵,它就可能被當做攻擊向量向網路裡提交惡意鏈結,」他說。「雖然它看上去像是來自於員工知道的某個人傳送的郵件,但是它可能是病毒或者勒索軟體,可能會摧毀企業整個系統。」
adam levin,他是總部位於斯科茨代爾的一家身份認證保護服務idt911 llc公司的主席和創始人,注意到雖然絕大多數洩露的dropbox密碼看上去仍然是安全的,因為使用了強大的雜湊演算法,但是郵件位址仍然能夠暴露敏感資料。「郵箱位址是我們數字身份認證的基石,因為它們通常包含重要的名稱以及/或者數字,比如你的生日、大學或者工作。」
「所有這些資訊都是很小的資訊**,黑客可能據此猜出密碼並且回答安全問題,來訪問更多的敏感資訊,」levin說。「郵件位址還通常作為很多其他賬號的使用者id,比如財務服務或者社交網路**,還不用說提供了多種釣魚攻擊的上下文。因此,可能的災難很可能不僅僅限於dropbox。」
WhaleCTF之web密碼洩露
whalectf之密碼洩露 前往題目 沒有思路,習慣看一下原始碼,拉到最後,發現有驚喜 這是要讓我密碼爆破嗎?直接把密碼儲存成password.txt,掏出burp來一波爆破 開始爆破 好像是base64加密,拿去base64解密之後 得到290bca70c7dae93db6644fa00b9d83...
微軟系統洩露密碼入侵分析
windows訪問139埠時自動用當前使用者 密碼連線,造成洩露使用者密碼,雖然其密碼是加密的,但一樣可以用來攻擊。下面是smb的密碼認證方式。windows的139口的訪問過程,箭頭表示資料方向 1。客戶端 建立tcp連線 服務端 2。客戶端 客戶端型別 支援的服務方式列表等 服務端 3。客戶端 ...
contos6 8系統mysql修改密碼
1.登陸伺服器,找到自己的my.cnf檔案,通常會在 etc目錄下 如果不在,可以用find name my.cnf命令找一下 2.使用 vi my.cnf 命令編輯該檔案 建議先備份 然後輸入i使檔案處於編輯狀態 底部的insert 說明處於編輯中 3.在 mysqld 下面加上 skip gra...