darylfranz: Dropboxの2012年の事件では社員のパスワード再利用により6000万あまりのユーザー認証情報が盗まれていた - TechCrunch Japan 最初にMotherboa
darylfranz: Dropboxの2012年の事件では社員のパスワード再利用により6000万あまりのユーザー認証情報が盗まれていた - TechCrunch Japan 最初にMotherboardが報じ本誌TechCrunchの情報筋が確認したところによると、6000万あまりのアカウントの認証情報が盗まれた。今回Dropboxがパスワードの侵害を開示したことは、2012年の事件のときの同社の態度に比べると、進化している。そのとき同社は、ユーザーのメールが唯一の盗まれたデータだ、と言った。 2012年のときのブログ記事は、こんなだ: 盗まれたパスワードは、プロジェクトのドキュメントやユーザーのメールアドレスのあるDropboxの社員のアカウントにアクセスするためにも使われた。この不正なアクセスが、スパムに導いたものと思われる。これに関しお詫び申し上げるとともに、新たなコントロール要素を加えることによって確実な再発防止を図ったことを、ご報告申し上げたい。 このブログ記事によると、Dropboxは2012年に、社員のパスワードが取得されてメールアドレスのあるドキュメントへのアクセスに使われた、と開示した。しかしその窃盗行為によって複数のパスワードが取得されたことは、開示しなかった。Dropboxはユーザーのパスワードを暗号化しソルトして保存しており、そのことは技術的にも正確であり、したがってハッカーは暗号化されているファイルを取得できただけであり、その上のパスワードを解読することはできない、と思われる。しかし、最初に開示したものよりも多くの情報が盗まれていたにもかかわらず、その侵害の開示にこんなに長い時間〔ほぼ4年〕がかかったことは、奇異である。 Dropboxの筋によると、最初に2012年に開示したユーザーのメールに加えて、それらのメールに結びついている一群の暗号化されたパスワードも盗まれた。その侵害の時点ではDropboxは、当時の標準アルゴリズムである暗号化アルゴリズムSHA-1の使用をやめて、より堅牢なbcryptに代えようとしていた。盗まれたパスワードの一部はSHA-1で暗号化され、3200万はbcryptで暗号化されていた、とMotherboardは報じている。パスワードはまた、暗号化を強化するためのランダムなデータ列、いわゆるソルト(salt, 塩)で守られていた。これらのパスワードは今、ネット上に投げ捨てられているが、それらを保護している暗号がこじ開けられた形跡はない。 -- source link