Dropbox數位簽章服務被駭影響所有用戶,包含曾接過文件的用戶
· 2024-05-03

Dropbox旗下數位簽章服務HelloSign遭駭,導致用戶金鑰及MFA驗證資訊,以及曾接收過其簽章文件用戶的電郵信箱因此外洩

背景/Egor Yakushkin on Unsplash

雲端硬碟業者Dropbox昨(2)日對主管機關美國證管(SEC)會通報,旗下數位簽章服務HelloSign遭駭,影響該服務所有用戶,包括部分用戶金鑰及MFA驗證資訊遭到駭客存取,接收過其簽章文件用戶的電郵信箱恐也外洩。

HelloSign是Dropbox 2019年收購的雲端簽核與文件工作流程平臺服務,當時其用戶超過80萬。在收購後,該方案改名為Dropbox Sign。

Dropbox是在4月24日獲知Dropbox Sign的營運環境發生非經授權的存取活動。該公司安全回應部門很快終止了事件。經過調查,Dropbox發現攻擊者已存取了這項服務的資訊,影響所有用戶,包括用戶電子郵件信箱、使用者名稱及一般的帳號設定。另有部分用戶的電話號碼、雜湊加密過的密碼及特定驗證資訊,像是API金鑰、OAuth token、多因素驗證(multiple-factor authentication,MFA)資訊。

在其官網上,Dropbox進一步說明,即使用戶沒有Dropbox帳號,但曾經接到或以Dropbox Sign簽收文件的用戶,其電子郵件及使用者名稱也會曝光。反過來說,如果用戶曾建立Dropbox Sign或HelloSign帳號,但未設立密碼(即他們是用「Sign up with Google Account」),則沒有密碼曝險的問題。

Dropbox說,根據目前調查結果,沒有證據顯示用戶帳號下的內容,像是其文件、合約、範本或是支付資訊遭駭客存取。該公司也認為,事件範圍僅限Dropbox Sign的基礎架構,並不影響Dropbox其他產品的營運環境。

該公司已重設用戶密碼、將任何連結Hello Sign的裝置登出,也進行所有API金鑰、OAuth tokens輪換。這家業者說已通報執法機關,會持續調查,事件矯正修復行動也持續進行中,並已開始通知所有受影響的用戶採取必要行動。

不過Dropbox並未說明電子簽章服務確切受影響的用戶有多少,或是攻擊者如何存取Dropbox Sign環境。

在營運面上,Dropbox相信此事件不會影響整體業務作業,但是他們尚未能評估事件之後對公司財務及營運結果的效應,因為可能會有官司、客戶行為改變以及主管機關的審查。

這是Dropbox近年最新一起被駭事件。2016年媒體發現這家雲端硬碟業者曾在2012年被駭,致使近7,000萬用戶帳密外洩。2022年11月該公司員工被網釣攻擊,讓駭客存取了130個GitHub程式儲存庫。

熱門文章
西班牙監管機構警告在線賭博平臺存在身份盜竊行為
合規與政策
斯里蘭卡博弈產業大轉型,官方:劍指南亞拉斯維加斯
合規與政策
印度最高法院受理公益訴訟,要求全國禁封「偽裝」成社交遊戲的賭博平台
合規與政策
越南博彩管控逐步放寬,惟本土需求仍顯乏力
東南亞資訊
英國確認各垂直行業的賭博稅稅率
合規與政策
菲律賓博彩技術賽道迎來新變局,B2B 供應模式加速滲透
東南亞資訊
菲律賓網絡賭博和加密貨幣仍構成持續的洗錢風險
東南亞資訊
亞洲遊戲市場觀察:15大市場熱門遊戲與用戶趨勢
網路遊戲
超級PAC籌資4800萬美元:體育博彩勢力加碼
合規與政策
橫跨全球6個城市,灰度8場派對邀你共看世界盃,重塑高質量社交新場景
灰度頭條
印第安納州在線賭場法案在眾議院委員會停滯不前
合規與政策
巴西擬將博弈稅率提高至24% 稅收將用於社保與醫療領域
合規與政策
新澤西州7月博彩收入創6.06億美元新高,頒布禁令
合規與政策
哈薩克計劃對線上賭場促銷活動進行處罰
合規與政策
2027 Global Game Connect(GGC)斯里蘭卡招商全面啟動!業務人脈盡在掌握!
灰度頭條
首頁
遊戲
合作
發現
我的