Dropbox บอกว่ามันไม่ได้ถูกแฮ็กขอการรับรองความถูกต้องด้วยสองปัจจัย

หากคุณใช้ Dropbox เพื่อจัดเก็บไฟล์ของคุณให้พิจารณาข้อความเตือนความจำนี้ว่าคุณควรใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับบริการคลาวด์

บุคคลที่ไม่รู้จักโพสต์ชื่อผู้ใช้และรหัสผ่านหลายร้อยรายการที่ถูกกล่าวหาว่าเป็นของบัญชี Dropbox ในเว็บไซต์แบ่งปันข้อความ Pastebin ในวันจันทร์ ผู้ใช้ Pastebin กล่าวว่าตัวอย่างเป็นส่วนเล็ก ๆ ของรายการซึ่งประกอบด้วยบัญชี Dropbox ที่ถูกบุกรุกถึง 7 ล้านบัญชี

"เราจะเผยแพร่ต่อสาธารณชนมากขึ้นเมื่อมีการบริจาคเข้ามาแสดงการสนับสนุนของคุณ" การประกาศของ Pastebin พร้อมกับการทิ้งรหัสผ่าน

Dropbox ไม่ถูกแฮ็ก

ในกรณีที่คุณกังวลว่าไฟล์และรูปภาพของคุณถูกขโมย Dropbox กล่าวว่าไม่มีอะไรน่ากังวล

“ สิ่งของของคุณปลอดภัย” Anton Mityagin สมาชิกทีมรักษาความปลอดภัยของ Dropbox เขียนไว้ในบล็อกโพสต์ยืนยันว่า Dropbox ไม่ถูกแฮ็ก "ชื่อผู้ใช้และรหัสผ่านที่อ้างอิงในบทความเหล่านี้ถูกขโมยจากบริการที่ไม่เกี่ยวข้องไม่ใช่ Dropbox"

บริการคลาวด์อ้างว่าผู้โจมตีคัดชื่อผู้ใช้และรหัสผ่านจากบริการที่ละเมิดอื่น ๆ จากนั้นลองเข้าสู่เว็บไซต์ต่าง ๆ ทั่วอินเทอร์เน็ตรวมถึง Dropbox เนื่องจากการใช้รหัสผ่านซ้ำอาละวาดแม้จะไม่ได้รับคำเตือนซ้ำ ๆ ก็ตามผู้โจมตีจึงสามารถรวบรวมรายการข้อมูลรับรองบัญชี

แม้ว่า Dropbox จะไม่ถูกละเมิด แต่ไฟล์ของฉันมีความเสี่ยงเนื่องจากข้อมูลบัญชีของฉันถูกเปิดเผยหรือไม่ Dropbox อ้างว่าไม่เป็นเช่นนั้นเนื่องจากจะตรวจสอบบัญชีทั้งหมดเพื่อติดตามกิจกรรมการลงชื่อเข้าใช้ที่น่าสงสัยชนิดนี้เป็นประจำ Dropbox อ้างว่ามันได้ตรวจสอบรายการที่โพสต์บน Pastebin และยืนยันว่าพวกเขาไม่ได้เชื่อมโยงกับบัญชีผู้ใช้

"เรามีมาตรการในการตรวจจับกิจกรรมการเข้าสู่ระบบที่น่าสงสัยและเรารีเซ็ตรหัสผ่านโดยอัตโนมัติเมื่อเกิดขึ้น" Mityagin เขียน

การใช้ซ้ำรหัสผ่านไม่ถูกต้อง

หากบัญชีของคุณเป็นหนึ่งในบัญชีที่ผู้โจมตีระบุ Dropbox อาจเปลี่ยนรหัสผ่านของคุณ ก่อนอื่นให้หยุดการนำรหัสผ่านของคุณไปใช้ในบริการต่างๆ อย่าใช้รหัสผ่านเดียวกันแม้ว่าคุณจะคิดว่าบัญชีไม่มีข้อมูลที่ละเอียดอ่อนและไม่สำคัญ

น่าเสียดายที่แม้ว่าจะมีการเปิดเผยรหัสผ่านของผู้ใช้เมื่อไม่นานมานี้ผู้คนก็ไม่ได้สนใจ Troy Hunt นักวิจัยด้านความปลอดภัยที่อยู่เบื้องหลัง HaveIBeenPwned.com ได้บอก SecurityWatch เมื่อเดือนที่แล้วว่าเขาคาดว่าจะมีการซ้อนทับกันระหว่างรายการรหัสผ่านจากการละเมิดข้อมูลที่แตกต่างกัน ฐานข้อมูลของ HaveIBeenPwned มีรายการรหัสผ่านจากเว็บไซต์มากกว่า 30 แห่งและให้ผู้ใช้ตรวจสอบว่าบัญชีของพวกเขาอยู่ในกลุ่มที่ได้รับการเปิดเผยหรือไม่

“ เราเพิ่งเปลี่ยนนิสัยการใช้รหัสผ่านไม่เพียงพอ” ที่จะไม่มีการทับซ้อนกันระหว่างการรั่วไหลของข้อมูล Hunt กล่าว

สองปัจจัยตอนนี้

แม้ว่าคุณจะไม่ได้ใช้รหัสผ่านซ้ำบัญชีของคุณยังคงมีความเสี่ยงต่อการถูกโจมตีแบบเดรัจฉานโดยเฉพาะอย่างยิ่งถ้ารหัสผ่านนั้นอ่อนแอ นอกจากนี้ยังเป็นที่น่าสังเกตว่าแม้รหัสผ่านที่แข็งแกร่งและซับซ้อนสามารถบังคับให้เดรัจฉานโดยเฉพาะอย่างยิ่งหากผู้โจมตีมีทรัพยากรการคำนวณเวลาและแรงจูงใจที่เพียงพอ นี่คือเหตุผลที่คุณควรเปิดการยืนยันสองขั้นตอนในบริการใด ๆ ที่นำเสนอ โชคดีสำหรับเรา Dropbox เป็นหนึ่งในบริการเหล่านั้นและมันค่อนข้างง่ายในการติดตั้ง

"การโจมตีเหล่านี้เป็นหนึ่งในเหตุผลที่เราสนับสนุนให้ผู้ใช้ไม่ใช้รหัสผ่านซ้ำในบริการต่างๆเพื่อความปลอดภัยที่เพิ่มขึ้นเราขอแนะนำให้เปิดใช้งานการยืนยันแบบสองขั้นตอนในบัญชีของคุณ" Mityagin เขียน

การยืนยันสองขั้นตอนรวมรหัสผ่านหรือ "สิ่งที่คุณรู้" กับอุปกรณ์มือถือหรือ "สิ่งที่คุณมี" เพื่อป้องกันการพยายามลงชื่อเข้าใช้ที่เป็นการฉ้อโกง หากคุณเปิดใช้งานสองปัจจัยในบัญชี Dropbox ของคุณคุณจะได้รับรหัสความปลอดภัยหกหลักในโทรศัพท์มือถือของคุณหรือมีรหัสที่สร้างขึ้นจากแอป Google Authenticator "การมีสองขั้นตอนแทนที่จะเป็นเพียงขั้นตอนเดียวจะสร้างสิ่งกีดขวางที่แข็งแกร่งกว่าสำหรับผู้โจมตี" Dropbox กล่าว

เราขอแนะนำให้ใช้ตัวจัดการรหัสผ่านเช่น LastPass เพื่อให้ง่ายต่อการสร้างรหัสผ่านที่ไม่ซ้ำซึ่งซับซ้อน แต่ในขณะที่พวกเขาอาจชะลอการโจมตีพวกเขาจะไม่เข้าใจผิดได้ การรับรองความถูกต้องด้วยสองปัจจัยนั้นสะดวกและช้าลง แต่ก็คุ้มค่ากับความพยายามพิเศษหากป้องกันผู้โจมตีไม่ให้เจาะเข้าสู่บัญชีของคุณได้อย่างง่ายดาย