ファイル共有、同期サービスとしてなくてはならいサービスに成長した「Dropbox」。しかしMotherboardの報道によると、2012年にDropboxの認証情報が68,680,741件もハッカーによって盗まれていたことが明らかとなりました(TechCrunch日本版)。
Dropboxによる2012年の発表では、「社員のパスワードが取得され、メールアドレスが含まれるドキュメントへのアクセスに使われた」とだけあり、複数のユーザーのパスワードが盗まれたことは開示されていませんでしたが、実際は6800万件ものアカウント認証情報が盗まれていた模様。
認証情報の中にはメールドレスのほか暗号化されたパスワードも含まれており、堅牢なbcryptを使って暗号化されたアカウント3200万件以外は、SHA-1によって暗号化されていたとのこと。特にSHA-1で暗号化されたアカウントは、実際のパスワードが取得されてしまう危険性が懸念されています。
Dropboxは先日、2012年半ば以降パスワードを変更していないユーザーに対しパスワード変更を促すメールを送信しました。「あくまで安全のための予防措置」とされていますが、実際にパスワード情報が流出した危険性がある以上、一刻も早く自分のパスワードを変更しておいた方が良いと思います。
また流出した認証情報が本物である事を検証したThe Dropbox hack is realというブログ記事が公開され、Hacker Newsでも今回の事件に関して大きな議論が巻き起こっています。
