ADVERTISEMENT
Dropbox 最近揭露了一起重大安全事件,導致客戶的個人資訊被未知的未授權存取。
這次攻擊主要影響Dropbox Sign服務,Dropbox將其宣傳為「一種電子簽署解決方案,讓您可以在不離開 Dropbox 的情況下,發送、簽署和儲存重要檔案,就像無縫的工作流程一樣。」基本上就是 DocuSign 的翻版。
根據監管機構的文件,Dropbox的管理層在上週四 (4 月 24 日) 意識到該事件,並「立即啟動網路安全事件應急程式進行調查、控制和補救。」
ADVERTISEMENT
該調查發現「攻擊者已經存取了所有 Dropbox Sign 使用者的相關資料,例如電子郵件和使用者名稱,以及一般帳戶設定。」
糟糕的是,「對於部分使用者,攻擊者還存取了電話號碼、雜湊密碼以及某些身份驗證資訊,例如 API 金鑰、OAuth token和多因素身份驗證。」
但還有更糟的,Dropbox的部落格文章提到,「那些沒有設立過Dropbox帳號但透過 Dropbox Sign 接收或簽署過文件的廠商」,其電子郵件信箱和姓名也可能被洩露。
ADVERTISEMENT
值得慶幸的是,Dropbox沒有發現攻擊者「存取過使用者帳戶的內容,例如他們的協定或範本,或他們的付款資訊」。 這是個好消息,因為 Dropbox Sign 理論上可以用於處理涉及商業秘密的合約。
另一個好消息是,Dropbox沒有看到其他產品受到影響的證據。 這可能是像部落格文章說的那樣,「Dropbox Sign 的基礎架構和其他 Dropbox 服務在很大程度上是分開的。」
這可能只是一個巧合,因為 Dropbox Sign 源自一家名為 HelloSign 的新創公司,Dropbox在 2019 年收購了它。但這也不算是個好消息,因為它表明Dropbox為其不同的產品使用了不同的基礎架構,這種龐大的 IT 架構會增加複雜性並使管理變得更加困難。
ADVERTISEMENT
文件告訴投資者,這一事件對Dropbox的財務狀況沒有造成影響,並且該公司認為這不會造成實質影響。
攻擊者是如何入侵的?
Dropbox的部落格文章解釋說,其調查結果表明,第三方獲得了對一個「Dropbox Sign 的自動系統組態工具」的存取權限。
攻擊者入侵了一個「服務帳戶」,這個帳戶是由非人為操作而用於執行應用程式和自動化服務。 該帳戶「具有在 Sign 的生產環境中執行各種操作的許可權」。
ADVERTISEMENT
在那以後,Dropbox的資訊安全團隊重設了使用者密碼,登出任何連接到Dropbox Sign的設備,並輪換了所有的 API 金鑰和 OAuth token。
Dropbox的部落格文章表明他們的調查仍在進行中,受影響的客戶應該會在一週內收到進一步通知。
然而,無論是部落格文章還是文件,都沒有提到任何在資料洩露後提供免費身份和欺詐保護服務的提議,但這些服務在資料洩露後都是很常見的。
ADVERTISEMENT