基于云的存储提供商Dropbox今天清理了有关导致垃圾邮件活动的安全漏洞的更多详细信息。该公司对该事件的调查显示，从其他网站窃取的用户名和密码用于登录多个Dropbox帐户，其中包括属于Dropbox员工的一个帐户，该帐户包含带有用户电子邮件地址的“项目文档”。据该公司称，该文件被认为已用于发起垃圾邮件运动。

违规后，位于荷兰，德国和英国的Dropbox用户开始在Dropbox用户论坛上报告他们正在网站接收垃圾邮件。随后的投诉使人们怀疑Dropbox已被黑客入侵。

在博客文章中，Dropbox工程师Aditya Agarwal为这种情况道歉，并表示该公司正在采取其他控制措施以防止将来发生违规行为。特别是，该公司计划采用两因素身份验证作为用户登录时证明身份的一种可选方式。这将在几周内完成。

此外，该公司还添加了新的自动化机制来帮助识别可疑活动，这是一个新页面，该页面使用户可以检查其帐户的所有活动登录以及是否需要密码(如果经常使用或长时间未更改)。 。

“同时，我们强烈建议您通过为使用的每个网站设置唯一的密码来提高在线安全性，” Agarwal写道。“尽管它很容易在不同的网站上重复使用相同的密码，但这意味着，如果任何一个网站遭到破坏，您的所有帐户都将受到威胁。像1Password这样的工具可以帮助您跨多个网站管理强密码。”

Agarwal补充说，已经通知其用户名和密码从其他网站被盗的用户。

项目文档上的电子邮件地址显然没有被混淆或加密。

Vormetric产品行销高级总监Todd Thiemann表示，这种突破表明没有对敏感数据进行严格的访问控制。

他说：“包含许多客户电子邮件地址的文档似乎非常敏感，需要保护。” “因此，在将文件离开数据库后对其进行加密是安全的最佳做法。公司需要重新评估敏感数据的构成。虽然可能不像信用卡数据那样对电子邮件地址进行管制，但窃取这些电子邮件所造成的损害可能是巨大的。 [等于]或大于与信用卡号码被盗有关的影响。”

ESET安全宣传员Stephen Cobb说，该事件还可以作为一个教训，不要在多个站点上使用相同的密码。