Dropbox 本周早些时候披露，2012 年泄露的一大批用户账号密码流出至暗网络网站。不过，受影响的账号数量或许要远远高于我们最初的预期。

Motherboard 网站最初报道称，Dropbox 的 超过 6000 万帐号信息泄露 ，而 TechCrunch 的信源也证实了这一消息。泄露的密码来自于 2012 年 Dropbox 的一次信息安全事故。Dropbox 当时表示，丢失的数据只有用户的电子邮件。

以下是 2012 年 Dropbox 官方博客中的解释 ：

丢失的密码被用于访问 Dropbox 的员工账号，其中包括带用户电子邮件地址的项目文件。我们认为，这一非法访问导致了垃圾邮件的出现。我们对此感到抱歉，并采取了额外的控制措施，确保这种事故不会再次发生。

Dropbox 于 2012 年披露，一名员工的帐号被非法获得，用于访问了包含电子邮件地址的文件。不过 Dropbox 并未提到，用户的密码也被泄露。由于 Dropbox 以加密形式保存用户的密码，因此从技术上来说，Dropbox 的解释也没有问题。黑客只是获得了保存 Dropbox 用户密码的加密文件，无法对其进行解密。不过目前看来，Dropbox 实际上丢失了更多信息。而奇怪的是，该公司过了如此长的时间才披露这一信息。

根据 Dropbox 一名消息人士的说法，除了 2012 年披露的用户电子邮件之外，与电子邮件相关的许多加密密码也已泄露。在发生数据泄露事故时，Dropbox 放弃了此前使用的 SHA-1 加密算法，即当时的标准算法，同时改用一种更强的加密标准 bcrypt。根据 Motherboard 的报告，某些泄露的密码采用了 SHA-1 技术来加密，而 3200 万密码采用了 bcrypt 来加密。此外，这些密码也采用了 salt 技术，利用随机数据串去强化加密效果。即使密码被泄露在网上，但这些加密机制并未被破解。

在 2012 年接受《福布斯》杂志采访时，Dropbox CEO 德鲁·休斯顿（Drew Houston）表示，Dropbox 已经吸引了约 1 亿用户，较一年前上升了一倍。近期，Dropbox 又宣布，注册用户数已突破 5 亿，但没有透露月活跃用户数据。如果在黑客事故发生时 Dropbox 有约 1 亿用户，那么相当于有 3/5 的用户密码泄露。

消息人士表示，黑客通过攻击 LinkedIn 获得了 Dropbox 员工的账号密码，并使用这一账号密码访问了 Dropbox 的企业网，从而获取了用户密码。因此，问题并不完全出在 Dropbox 方面。不过，这仍然违反了 Dropbox 内部的信息安全标准，并标明员工重复使用同一账号密码的问题已经影响了企业环境。

编译：维金

Dropbox employee’s password reuse led to theft of 60M+ user credentials