Dropbox旗下數位簽章服務HelloSign遭駭,導致用戶金鑰及MFA驗證資訊,以及曾接收過其簽章文件用戶的電郵信箱因此外洩
背景/Egor Yakushkin on Unsplash
雲端硬碟業者Dropbox昨(2)日對主管機關美國證管(SEC)會通報,旗下數位簽章服務HelloSign遭駭,影響該服務所有用戶,包括部分用戶金鑰及MFA驗證資訊遭到駭客存取,接收過其簽章文件用戶的電郵信箱恐也外洩。
HelloSign是Dropbox 2019年收購的雲端簽核與文件工作流程平臺服務,當時其用戶超過80萬。在收購後,該方案改名為Dropbox Sign。
Dropbox是在4月24日獲知Dropbox Sign的營運環境發生非經授權的存取活動。該公司安全回應部門很快終止了事件。經過調查,Dropbox發現攻擊者已存取了這項服務的資訊,影響所有用戶,包括用戶電子郵件信箱、使用者名稱及一般的帳號設定。另有部分用戶的電話號碼、雜湊加密過的密碼及特定驗證資訊,像是API金鑰、OAuth token、多因素驗證(multiple-factor authentication,MFA)資訊。
在其官網上,Dropbox進一步說明,即使用戶沒有Dropbox帳號,但曾經接到或以Dropbox Sign簽收文件的用戶,其電子郵件及使用者名稱也會曝光。反過來說,如果用戶曾建立Dropbox Sign或HelloSign帳號,但未設立密碼(即他們是用「Sign up with Google Account」),則沒有密碼曝險的問題。
Dropbox說,根據目前調查結果,沒有證據顯示用戶帳號下的內容,像是其文件、合約、範本或是支付資訊遭駭客存取。該公司也認為,事件範圍僅限Dropbox Sign的基礎架構,並不影響Dropbox其他產品的營運環境。
該公司已重設用戶密碼、將任何連結Hello Sign的裝置登出,也進行所有API金鑰、OAuth tokens輪換。這家業者說已通報執法機關,會持續調查,事件矯正修復行動也持續進行中,並已開始通知所有受影響的用戶採取必要行動。
不過Dropbox並未說明電子簽章服務確切受影響的用戶有多少,或是攻擊者如何存取Dropbox Sign環境。
在營運面上,Dropbox相信此事件不會影響整體業務作業,但是他們尚未能評估事件之後對公司財務及營運結果的效應,因為可能會有官司、客戶行為改變以及主管機關的審查。
這是Dropbox近年最新一起被駭事件。2016年媒體發現這家雲端硬碟業者曾在2012年被駭,致使近7,000萬用戶帳密外洩。2022年11月該公司員工被網釣攻擊,讓駭客存取了130個GitHub程式儲存庫。
