포스팅 내용

국내외 보안동향

드롭박스 해킹, 6,800만 계정 정보 온라인에 유출돼

드롭박스 해킹, 6,800만 계정 정보 온라인에 유출

Dropbox Hacked — More Than 68 Million Account Details Leaked Online


지난 2012년 공격자가 온라인 클라우드 스토리지 플랫폼인 드롭박스에서 6,800만개 이상 계정의 크리덴셜을 손에 넣은 것으로 보입니다.


드롭박스 측은 유출 사실을 인정하고, 강제 패스워드 리셋과 관련하여 고객들에게 이미 공지한 상태입니다. 그러나 영향을 받은 사용자의 정확한 수는 공개하지 않았습니다.


이와 관련하여, Motherboard는 데이터베이스 거래 커뮤니티와 유출 알림 서비스 Leakbase에서 약 5기가의 파일을 입수했습니다. 여기에는 이메일 주소, 해싱 및 솔팅된 패스워드 포함 68,680,741개의 계정정보가 존재하는 것으로 밝혀졌습니다.


이름을 밝히지 않은 드롭박스의 직원은 해당 데이터의 타당성을 확인했습니다.


다행히 6,800만 중 3,200만 가량의 패스워드가 강력한 해싱 기능인 “BCrypt”를 통해 보호되어 공격자가 실제 패스워드를 얻기는 어려울 것으로 보입니다. 그러나 나머지는 SHA-1 해싱 알고리즘을 통해 해싱되었습니다. 이 패스워드 해시는 공격자가 복호화하는 것을 어렵게 하기 위해 해싱 과정에서 랜덤 문자열을 추가하는 ‘솔팅’ 단계를 거친 것으로 추정됩니다.


드롭박스의 보안부문장 Patrick Heim은 “우리가 지난 주 선조치한 패스워드 리셋을 통해, 잠재적으로 영향을 입은 모든 사용자가 안전한 것을 확인했다.”, “우리는 2012년 중반 이전의 오래된 패스워드들이 드롭박스 계정에 악의적으로 접속하는데 이용될 수 없도록 하기 위해 예방 차원에서 이 리셋을 진행했다. 우리는 여전히 사용자들에게 드롭박스와 동일한 패스워드를 사용한 다른 서비스의 패스워드도 변경하도록 권고한다.”고 밝혔습니다.


드롭박스는 지난 2012년 데이터 유출에 대해 공지하며, 한 직원의 패스워드가 사용자 이메일 주소가 담긴 파일로 접속하는데 사용되었다고 밝혔습니다. 그러나 공격자가 패스워드를 탈취했는지 여부는 공개하지 않았습니다.


이번 주 초, 드롭박스는 사용자에게 지난 2012년 데이터 유출 사고 때 유출된 사용자 크리덴셜들이 조만간 다크웹 시장에 올라올 것으로 보인다고 밝혔습니다. 따라서 2012년 중반 이후로 패스워드를 변경하지 않았을 경우, 이를 새롭게 변경하도록 권고했습니다.


사용자는 주기적으로 드롭박스를 포함한 모든 온라인 웹사이트의 비밀번호를 변경하는 것이 필요합니다. 사이트마다 서로 다른 복잡한 패스워드를 설정하여 기억하기 어렵다면, 패스워드 관리 프로그램 권해 드립니다.




출처 :

http://thehackernews.com/2016/08/dropbox-data-breach.html



티스토리 방명록 작성
name password homepage