Dropbox數位簽章服務被駭影響所有用戶,包含曾接過文件的用戶
· 2024-05-03

Dropbox旗下數位簽章服務HelloSign遭駭,導致用戶金鑰及MFA驗證資訊,以及曾接收過其簽章文件用戶的電郵信箱因此外洩

背景/Egor Yakushkin on Unsplash

雲端硬碟業者Dropbox昨(2)日對主管機關美國證管(SEC)會通報,旗下數位簽章服務HelloSign遭駭,影響該服務所有用戶,包括部分用戶金鑰及MFA驗證資訊遭到駭客存取,接收過其簽章文件用戶的電郵信箱恐也外洩。

HelloSign是Dropbox 2019年收購的雲端簽核與文件工作流程平臺服務,當時其用戶超過80萬。在收購後,該方案改名為Dropbox Sign。

Dropbox是在4月24日獲知Dropbox Sign的營運環境發生非經授權的存取活動。該公司安全回應部門很快終止了事件。經過調查,Dropbox發現攻擊者已存取了這項服務的資訊,影響所有用戶,包括用戶電子郵件信箱、使用者名稱及一般的帳號設定。另有部分用戶的電話號碼、雜湊加密過的密碼及特定驗證資訊,像是API金鑰、OAuth token、多因素驗證(multiple-factor authentication,MFA)資訊。

在其官網上,Dropbox進一步說明,即使用戶沒有Dropbox帳號,但曾經接到或以Dropbox Sign簽收文件的用戶,其電子郵件及使用者名稱也會曝光。反過來說,如果用戶曾建立Dropbox Sign或HelloSign帳號,但未設立密碼(即他們是用「Sign up with Google Account」),則沒有密碼曝險的問題。

Dropbox說,根據目前調查結果,沒有證據顯示用戶帳號下的內容,像是其文件、合約、範本或是支付資訊遭駭客存取。該公司也認為,事件範圍僅限Dropbox Sign的基礎架構,並不影響Dropbox其他產品的營運環境。

該公司已重設用戶密碼、將任何連結Hello Sign的裝置登出,也進行所有API金鑰、OAuth tokens輪換。這家業者說已通報執法機關,會持續調查,事件矯正修復行動也持續進行中,並已開始通知所有受影響的用戶採取必要行動。

不過Dropbox並未說明電子簽章服務確切受影響的用戶有多少,或是攻擊者如何存取Dropbox Sign環境。

在營運面上,Dropbox相信此事件不會影響整體業務作業,但是他們尚未能評估事件之後對公司財務及營運結果的效應,因為可能會有官司、客戶行為改變以及主管機關的審查。

這是Dropbox近年最新一起被駭事件。2016年媒體發現這家雲端硬碟業者曾在2012年被駭,致使近7,000萬用戶帳密外洩。2022年11月該公司員工被網釣攻擊,讓駭客存取了130個GitHub程式儲存庫。

热门文章
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
超级PAC筹资4800万美元:体育博彩势力加码
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
巴西颁布新法赋权央行封锁非法博彩账户及 Pix 交易
支付动态
2027 Global Game Connect(GGC)斯里兰卡招商全面开启!业务人脉尽在掌握!
灰度头条
BETFAIR 网络攻击80万用户资料泄露
游戏风向
Zenith携手HUIDU,冠名赞助2026年世界杯嘉年华官方巡回活动
线上游戏
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
PropellerAds 分享了新的 iGaming 案例研究:在 3 个月实现 97,674 次安装和 12,701 笔存款
广告营销
首页
游戏
合作
发现
我的