Dropbox、2012年に6800万件超のアカウント情報を流出させていたことを公表 38
ストーリー by hylom
いまさら発表 部門より
いまさら発表 部門より
オンラインストレージサービスを提供するDropboxで、2012年に6800万人のアカウント情報を流出させていたことが明らかになった(INTERNET Watch、MOTHERBOARD、GIGAZINE)。
Dropboxは8月25日にユーザー向けに「2012年半ばから変更していないパスワード」について変更を求めた(過去記事)。この時点ではアカウント流出については触れられていなかったのだが、その後海外メディアがアカウント流出について報道、Dropbox側もこれを認める形となった。流出について伝えたMOTHERBOARDによると、流出したアカウントを含むデータ(4ファイル)は合計で約5GB、68,680,741アカウントの情報が含まれていたという。パスワードはハッシュ化されているが、Dropboxはたびたびパスワードのハッシュ化アルゴリズムを変更しており、一部は現在利用が推奨されないとされているSHA-1が使われているという。
なおDropboxによると、流出したアカウント情報を用いた不正アクセスは検知されていないという。
パスワードの定期的変更 (スコア:1)
まさに、有効に機能したであろう事例が発生したわけだが、不要と言ってた人の意見が聞きたいな。
サービサーが4年後(!)に公表するまでの期間、利用者はずっとリスクにさらされていたわけだが、
不要論者にとって、このリスクは許容可能なのかね。
Re:パスワードの定期的変更 (スコア:2)
X秒毎定期変更論者『利用者がX+1秒後(!)に変更するまでの期間、利用者はずっとリスクにさらされていたわけだが、X+1秒毎定期変更論者にとって、このリスクは許容可能なのかね。』
帰納により0秒毎定期変更以外は4年毎定期変更も1000年毎定期変更も危険である。
というのは冗談として、これはリスクだけを見た相対的比較ではなくコスト対リスクの問題。ゼロか否かというだけなら定期的変更も漏洩発覚時の変更もどちらも効果はゼロではない。コストを含めた定量的比較が難しいから議論している。
また確率的な事象に対して事例が一つある、なんて主張するのは、当り番号がわかってからあの時くじに投票しておけば、と同じで意味が無い。
ところで定期変更の強制はパスワードの使い回しや脆弱化を助長しかねない。そのコストを必要論者はどのように許容しているのかな?
Re:パスワードの定期的変更 (スコア:2)
不要なのは強制的な定期変更です。
強制することでパスワードを忘れたり、メモをソーシャルハックされたり、単純なものにしてしまうリスクが高まるためです。
自分で覚えられてなおかつ強力なものに変えるのなら何も問題はありません。
ただ、定期変更しなくても流出を素直に発表するような信用できる企業なら十分問題ないと言えるでしょう。
その後にすぐ変更すればいいからです。
今回の問題はDropboxが信用できない企業だったということです。
#他のところが流出しているのに何もなかったのは変だなとは思っていた
Re: (スコア:0)
パスワードの定期変更って、常に未知のセキュリティリスクに晒されてる場合には有効なのでは?未知じゃなくてもシステム側の能力不足で対処できないとか。
リスクが明るみになってからパスワード変更するのは随時変更って言うんじゃない?今回のDropboxの対応はこっちでしょ。
定期変更が不要って言ってる人でも、随時変更まで不要と言ってる人はいないんじゃない?
Re: (スコア:0)
別に漏洩以後の話に限定しないでも。
定期変更の頻度にも寄るが、
SHA1とbcryptの混在の後に漏洩した訳だから、
最も変更頻度が高い人はbcryptの後に漏洩して更に変更してUser-Passの使えないセットが1個。
頻度が低い又は変更しない人はSHA1が漏洩してSHA1がマッチするPassがずっと危険だった訳で。
Re: (スコア:0)
それは該当するユーザーのパスワードを変更しなければ使えないようにすべきだったってことですか?
それは定期変更とは話が違うような?全ユーザーに対して定期変更を要求しなくても、個別に対応すればよかったという形で。
いや、今回の問題を考える上では鋭い指摘だと思いますけど。
Re: (スコア:0)
半年に1回パスワードを変更していれば、リスクにさらされていた期間が半年以内で済んだでしょ。
Re:パスワードの定期的変更 (スコア:1)
Re:パスワードの定期的変更 (スコア:1)
ええ…。
6800万人のアカウントを悪用するとして、半年間の間にすべて不正アクセスして、利用することができるの?
リストを闇市場で売買するとしても、半年間で無効になるとしたら、市場価値は激減するわけだけど。
映画みたいな天才クラッカーが個人で全てやっていると思ってないか?
悪用スキームまで準備万端整えた上で、パスワードを流出させましたってか?
確か、数年前に流出したパスワードリストがクラックに使われたってニュースが、すらどでもストーリーになってたはず。
Re:パスワードの定期的変更 (スコア:1)
>半年間の間にすべて不正アクセスして、利用することができるの?
全部クロールできるでしょ。別に一台のPCから行う必要はない
1万台のゾンビがあれば6800台の面倒をみればいいだけだから十分現実的な数字だと思う
作ってみただけアカウントも多いだろうからなおさら
Re:パスワードの定期的変更 (スコア:1)
追伸:
今回の件において、定期変更は無意味とは思わないけどそれほど効かないんじゃないかな、というだけの主張です
Dropboxの対応はどーにもお粗末だったことについてはまったく異議ありません
信頼はせずとも信用はしてたのにとほほ
Re: (スコア:0)
たとえば半年ごとにパスワード変更していたら、情報流出が半年間だけで済んだのでは?
のこり3年半はダダモレでもどうでもいいという主張でしょうか?
Re: (スコア:0)
情報流出が半年間だけで済んだ、ねぇ
Re: (スコア:0)
そういうのは定期変更したとしても完全じゃないから、
google様がやっているようにアクティビティを監視するべきなのでは。
そこまででなくても前回のログイン日時とか表示されるだけでも助かる。
Re: (スコア:0)
本気で悪用するなら盗んですぐ悪用するだろうから、数十日ごとに変更しても大して意味ないんじゃないの
Re: (スコア:0)
つ
https://blog.kaspersky.co.jp/dropbox-hack/12403/ [kaspersky.co.jp]
定期変更不要論者は息してないのかな。
どこいったんだろう。
ぱよくに通じるものがあるな。
Re: (スコア:0)
TKD教授おっすおっす
認識の違いかな (スコア:1)
件数には触れられてはいないものの、8月25日の時点でアカウント情報が流出したことは公表していると認識していました。
ひでぇなコレ (スコア:0)
DropBoxの信頼度ガタ落ち。
Re: (スコア:0)
ほんとひどい対応。
>流出したアカウント情報を用いた不正アクセスは検知されていないという
嘘ついてるとしか思えない。
仮に本当だったとしても、こっそりパスワード変更させたあんたとこだけでしょ?
よくもまぁそんな言い訳ができたもんだ。
使い回してた人は他のサービスで被害にあってんじゃないの。
Re: (スコア:0)
"we don’t believe that any accounts have been improperly accessed”らしいから、信じるだけなら嘘じゃないのかな。過去4年のログイン記録全部照合するなんて手間かかってしょうがないし、検知する気がなかったら検知されないのは当たり前だよね。"Based on our threat monitoring"っていうのは、パスワード変更強制したあと古いパスワード使ってログインしようとしたかどうかだけじゃない?それも古いパスワードを正規のユーザが使おうとすることはありえることだから、ログイン失敗しても正規のユーザかどうか調べるつもりがなきゃ"improperly"かわからないよね。いつからモニターしたのか、どう判定しているのか全くわからない。
Re: (スコア:0)
ログイン時のIPアドレスやOSやブラウザ、アプリのバージョンは記録されてるようなので、仮に不審なアクセスがあればDropbox側から判別できるんじゃないでしょうか?
Web経由でアクセスすればユーザー側でも確認できるので。
Re: (スコア:0)
メディアが報道しなければ一生黙っているつもりだったんだろうな
そもそも最近になって流出が発覚したのかも怪しい
Dropboxの信用は地に堕ちたね。利用を即時中止するレベル。
Re: (スコア:0)
>流出したアカウント情報を用いた不正アクセスは検知されていないという。
そういう問題ではないよな。
理想的にはパスワードの定期変更は強制されるべきではないものだけど、
現実には定期変更した方が悪用される可能性が低くなることもある。
これが、まさにその悪い例の一つか。
Re: (スコア:0)
でもサービス側がパスワードの保存仕様を変更することを前提にするのは難しすぎる。
事前にいつ以後はハッシュを強化するからパスワード変更したほうがいいよ、みたいなアナウンスしてくれるといいけど。
コメント付かないね (スコア:0)
ここにはユーザー多そうなのに。
Re:コメント付かないね (スコア:2)
どうせ流出するだろうと思って使ってたからなぁ。
曰く (スコア:0)
「2013以降に登録したから大丈夫」だと。
そういう問題じゃないんだけど
Re: (スコア:0)
パスワード変更もしたし、2段階認証も導入した。
これでも信用して使えないというなら、どこなら信用できるのだろうか?
そもそもとして、オンラインストレージに絶対の信頼性など期待してないので、重要ファイルやプライバシーに関わるものはアップロードしていない。
# ここにいる人はWebサービスからは情報が漏れることは前提で各種サービスを使っているでしょうね
Re: (スコア:0)
流出の原因が判明してないので
2013年以降漏れてないとは言えないし、
今現在も漏れてるかもしれない。
アカウント情報が漏れたのだから
ファイルが漏れないとは(現時点では)言えない。
それに監視体制にも疑問がある。
6800万件漏れてなぜ4年間も気付かなかったのか?
とりあえず原因が判明するまでは
使わない方がいいのでは?
Re: (スコア:0)
まぁ使いたくなければ使わなければいいし、個人的には現時点で使用を停止する材料でもないとは思う。
あるかないかで流出リスクを判断するならオンラインストレージ自体使わないけど、個人的にそれなりの対策は取っているので。
Re: (スコア:0)
ここしばらくアクセスできませんでしたからね。
Re: (スコア:0)
流出した内の何千万件が試しに使ってみて放置されていたアカウントなんだろう
Re: (スコア:0)
情つよだから大丈夫、なんじゃない?
クラウドに自分で暗号化しないまま重要なファイルを置くのがそもそも間違いだし。
ログインセッションとか認証済みアプリなんかで不明なものがない限り大丈夫でしょう。
昔アクセスして全部ファイル持って帰ってそれっきり、の可能性もあるけど、今更どうしようもない。
2段階認証を採用してる今じゃもうアクセス不可能だし。
Dropboxを仕事で使うな (スコア:0)
ownCloudを社内サーバ(ネット接続不可or接続はログ記録付プロキシ鯖経由で)で使えよ
無料サービスにセキュリティとプライバシー期待するのが間違ってる
Re: (スコア:0)
有料プランもあるだろ
Re: (スコア:0)
ただしMS様のOneDriveは除く
ホスティング終了 (スコア:0)
流出騒ぎに紛れてこっそり通知してくるの本当汚い