スマホとPC間のファイル同期に欠かせない「Dropbox(ドロップボックス)」ですが、700万件以上のユーザーネームとパスワードを取得し、そのうち数百件が既に公開されたと報じられています。
Dropboxへのハッキングではなく、他のサービスからの流出か
Dropboxアカウントのユーザーネームとパスワードを入手したと主張する犯人は、700万件以上のパスワードとユーザーネームを入手したと語っており、その一部となる数百件文のアカウント情報をPastebinにて実際に公開したようです。また、同時にBitcoinにて寄付を募っており、寄付されれば継続的にアカウント情報を公開するとしているようです。
当初はハッキングによるものとされていましたが、米GizmodoがDropboxの広報から得た情報としてハッキングによるものではなく、他のサービスから盗まれたものと発表したとのこと。既に流出したパスワードとユーザーネームは、ほとんどが実際にログインができないものだそうです。
A spokesperson from Dropbox has provided us with the following statement:
Dropbox has not been hacked. These usernames and passwords were unfortunately stolen from other services and used in attempts to log in to Dropbox accounts. We’d previously detected these attacks and the vast majority of the passwords posted have been expired for some time now. All other remaining passwords have been expired as well.
引用元:Change Your Password: Hackers Are Leaking Dropbox User Info
Dropboxは、Pastebinに公開されたパスワードを既にリセットしたという情報もあるようですが、公式な情報ではないようです。
また、まだ今後のリークによって自身のDropboxアカウントが不正アクセスされる可能性もあるため、Dropboxに登録しているパスワードを他のサービスで使いまわしている場合は、念のためパスワードの変更をしておくことをオススメします。
【2014/10/14 18:56 更新】
Dropboxが公式ブログにてコメントを発表しました。
コメントによれば、既に公開された数百ものアカウント情報はDropboxから盗みだしたものではなく、無関係な他のサービスから盗みだしたものとのこと。つまり、Dropboxにログインできないアカウント情報が多数含まれているということになります。
さらに、Dropboxでは不正なログインを検出した場合にパスワードを自動でリセットを行う対策を取っているとしており、その一方でパスワードの使い回しや2段階認証を設定することを強く推奨しています。
ちなみに、公開されたアカウント情報を使ってログインできなかったというのはあくまでもDropboxに限った話しです。パスワードを使いまわしている場合は、犯人が入手したアカウント情報で他のサービスに不正ログインされる可能性は大いにあるので、パスワードの使い回しは絶対にやめましょう。
【2014/10/14 20:18 更新】
公式コメントの発表により、記事のタイトルと内容を一部変更しました。
コメントを残す