Dropbox 安全問題時間軸

Dropbox 是第一個問世的主流 雲端儲存空間 服務，並為該行業開拓了許多道路。遺憾的是，多年來它也犯了不少錯誤，其中最嚴重的是 2012 年的 Dropbox 資料外洩，這是該行業見過最大規模的一次。我們整理了這份 Dropbox 安全問題時間軸，以便您可以自行決定這是否仍是適合您的供應商。

如果您在閱讀後準備好轉移陣地，請查看這份關於 刪除您的 Dropbox 帳號 的快速指南。最後，在您考慮 Dropbox 的替代方案時，我們也會在下方分享有關更安全的 Proton Drive 的資訊。

• Dropbox 安全資料外洩：時間軸
  • 2011
  • 2012
  • 2013
  • 2017
  • 2018
  • 2022
• 您可以使用什麼來替代 Dropbox？

Dropbox 安全資料外洩：時間軸

Dropbox 創立於 2008 年，從 2011 年起幾乎每年都會經歷某種形式的資料外洩，儘管最近步調有所放緩。儘管如此，在決定要將您的檔案託付給哪家雲端儲存空間服務時，查看其過往紀錄是很重要的。

2011：Dropbox 密碼錯誤

Dropbox 的第一樁醜聞發生在 2011 年 6 月，即其成立僅三年後。由於一個錯誤，在長達約四小時的時間裡，Dropbox 系統 會接受任何(新視窗) 輸出的密碼，這意味著任何人只要知道使用者名稱或電子郵件，就能存取任何帳號 —— 這正是一個使用 安全使用者名稱 的絕佳案例。

話雖如此，值得注意的是，Dropbox 團隊在收到通知後僅花了五分鐘就修復了該問題。然而，在那四個小時內，每個 Dropbox 帳號都是門戶大開的。在那段時間內沒有攻擊者發現該漏洞純屬僥倖。

2012：Dropbox 資料外洩，6800 萬個密碼遭到入侵

2012 年 7 月，Dropbox 報告(新視窗) 指出，部分使用者名稱和密碼是從其他網站被盜取後用來存取 Dropbox 的（這正是為每個網站分別 建立強大密碼 的好理由）。Dropbox 對此做出的回應是部署安全措施，增加未經授權存取的難度。

到目前為止一切都還好，但在 2016 年曝光的消息顯示，Dropbox 並未說明完整事實(新視窗)：在 2012 年被駭的人當中，有一名 Dropbox 員工在 LinkedIn 上也使用了其公司的密碼。這讓攻擊者得以存取 Dropbox 的系統。

2016 年故事傳開時（距離最初的資料外洩事件已過去四年），隨後很快發現約有 6800 萬名使用者受到入侵，這使其成為雲端儲存空間歷史上最大規模的駭客攻擊，也是網際網路歷史上規模較大的事件之一。最重要的是，Dropbox 這家大公司竟然花了四年時間才承認損害的全面規模，這無疑是一樁醜聞。

2013 年：PRISM 指控

2013 年，當 Edward Snowden 向《衛報》(The Guardian) 揭露美國政府正透過 PRISM 計畫監視全球民眾時，出現的名字之一(新視窗)便是 Dropbox。根據 Snowden 的說法，該公司渴望與美國當局合作，並稱其為「想成為 PRISM 合作夥伴的人(新視窗)」。

目前尚不清楚 Dropbox 是否曾加入 PRISM 計畫（該公司一貫對此予以否認），但任何雲端儲存空間服務若被描述為熱衷於加入大規模監視陰謀，或許都該讓大眾深思。

2017 年：復活的資料

2017 年 1 月，部分 Dropbox 使用者遇到了一些非常奇怪的事：他們已刪除的檔案（有些甚至是多年前刪除的）突然重新出現在他們的 Dropbox 帳號中。經過研究後，Dropbox 發現了一個(新視窗)潛入代碼中的錯誤，導致檔案和資料夾無法被永久刪除。

雖然起初看起來無害，但我們刪除檔案通常是有原因的，而敏感資料可能在被銷毀後仍像幽靈般存在，這是一個非常嚴重的問題。再次強調，這不該是您對像 Dropbox 這樣的公司所抱有的預期。

2018 年：在未經同意的情況下共享資料

2018 年 7 月，發表了一項有趣的哈佛研究(新視窗)，其中數千人的協作努力被用作資料點，以確定團隊如何共同工作。這是非常吸引人的內容，並得出了一些非常新穎的發現。然而，所使用的資料來自 Dropbox，且相關人員從未被詢問(新視窗)過是否可以這樣使用資料。

雖然所使用的資料在傳送給研究人員之前已經過匿名化處理（這在文章的第一個版本中並未說明清楚），但一個您所信任並託付資料的服務，在未經您同意的情況下與第三方共享資料（無論是否匿名），仍會讓人感到不安。

除此之外，您也可以主張匿名資料並不全然是匿名的，因為即使從數位檔案中移除了姓名，仍有方法可以重構某人的身分。

2022 年：網路釣魚攻擊的回歸

最近一次 Dropbox 醜聞發生在 2022 年 11 月，當時一名 Dropbox 員工的憑證再次於網路釣魚攻擊中遭到竊取(新視窗)。

這一次，攻擊者冒充了 GitHub（開發者儲存其代碼的網站）。在這種情況下，竊賊竊取了屬於 Dropbox 員工和客戶的電子郵件及密碼。還應注意的是，標記出此次攻擊的是 GitHub 本身，而非 Dropbox。

對此，Dropbox 聲稱客戶檔案從未處於危險之中，核心模組（組成 Dropbox 的部分，若外洩可能威脅整個系統）也未受影響。這對他們來說很幸運，但對於電子郵件被網路犯罪分子利用的人來說，這只是微不足道的安慰。

您可以使用什麼來替代 Dropbox？

正如上述時間線所示，Dropbox 本可以做得比現在更好。雖然這還沒有到 LastPass 那樣嚴重的程度，但它確實不只一次失職。Dropbox 通常沒有報告事件的範圍和嚴重程度，這表明其缺乏意識或透明度。且資料外洩往往是由不良的安全實踐所造成的。

特別是 Dropbox 缺乏端對端加密，這點令人擔憂。當雲端儲存空間服務以端對端加密保護您的檔案時，這意味著您的資料在傳送到雲端之前已在您的裝置上加密。任何隨後對雲端伺服器的資料外洩都不會導致任何資料外洩。我們在關於 Dropbox 安全性的文章中更詳細地介紹了這些及更多內容。

正是考慮到主流雲端儲存空間供應商的這些缺陷，我們開發了 Proton Drive，這是一個安全、端對端加密的替代方案，可同時提供頂級的安全性和愉悅的使用者體驗。即使我們想查看您的資料（我們並不想這麼做，因為我們的業務模式是保護您的隱私），我們也根本無法存取。

這種隱私承諾自我們創立以來一直是 Proton 的核心，多虧了支持者的幫助，我們才得以在不需要外部資金的情況下做到這一點。因此，我們唯一的義務是針對您，也就是我們的社群。

如果您覺得使用安全且私有的雲端儲存空間選項聽起來不錯，請免費加入 Proton Drive，體驗一下私有網頁的樣貌。