日前 Dropbox 發現在 2012 年的一批舊用戶資料曾經外洩，導致如果從 2012 年起便未曾換過密碼的用戶個資可能遭到盜用。不過，用戶究竟該如何判斷自己的帳號和密碼是否有在外洩名單上？



據部落格《黑暗執行緒》的分享，國外一位有名的資安領域開發者 Troy Hunt 拿到了 Dropbox 流出的多達 6800 萬筆帳密名單。儘管清單正如 Dropbox 在事發後描述，是以 20 位元的字碼隨機加密過，沒有直接呈現原始值，但他透過稱作 1Password 的工具破解亂碼後，發現自己妻子的 Dropbox 帳號密碼確實出現在上頭，證實此次的帳密外洩事件為真。

Troy Hunt 隨後把清單放上自己的網站( https://haveibeenpwned.com/ )。該網站整理了過往幾次大規模密碼外洩事件的清單，讓用戶可以簡單輸入自己的 Email 或帳號，檢查自己是否曾不經意成為網路個資外洩的受害者。Troy Hunt 的網站如下：「Have I been pawned?」。

輸入後，網站會出現兩種資訊，包括在該網站整理的多種外洩來源中，用戶中了哪幾個，此外也會告知自己的資料是否已經在網路上公開流通。《黑暗執行緒》指出，由於 Dropbox 這次流出的資料並沒有公開流傳，因此用戶應該都會顯示出「found no pastes」，意指沒有被公開散佈，不過那不代表資料沒有在駭客社群間流傳。

建議用戶除了更改密碼，也可以增設兩步驟驗證。

The Dropbox hack is real ( https://www.troyhunt.com/the-dropbox-hack-is-real/?fb_ref=Default )
你的密碼被偷了嗎？ by 黑暗執行緒 ( http://blog.darkthread.net/post-2016-08-31-have-i-been-pawned.aspx )
（首圖來源：Flickr/Ian Lamont CC BY 2.0）


------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
已經中伏 , 改左PW