2024 年 4 月 24 日,Dropbox,線上文件儲存和共享服務,指出“未經授權存取生產環境”的Dropbox 標誌,以前稱為 HelloSign。在發給 01Net 的電子郵件中,該公司指出“此事件僅影響 Dropbox Sign 客戶,而不影響其他 Dropbox 解決方案的客戶,對他們來說,資料安全不存在風險”。
該服務允許用戶在線上安全地以電子方式簽署文件。一名入侵者顯然設法闖入該公司的工具管理部分,並控制了 Dropbox Sign 配置工具。公司隨後進行了調查“更深入”。
為了滲透系統,駭客使用了受損的帳戶“用於運行應用程式並執行自動化服務”。由於這種未經授權的訪問,攻擊者能夠訪問“我們的客戶資料庫””,這家美國公司承認。
Dropbox 中的哪些資料被竊?
因此,網路犯罪者已洩漏的客戶訊息Dropbox Sign 的訊息,例如電子郵件、使用者名稱、電話號碼和密碼。 Dropbox 指定密碼經過雜湊處理,即使用加密雜湊進行保護。因此,駭客無法解碼密碼並使用它進入您的帳戶。不過,Dropbox 建議在其他帳戶上使用相同密碼的使用者變更密碼。請注意,使用 Dropbox Sign eSignature 簽署收到的文件(例如,未建立帳戶)的網路使用者也可能受到影響。
正如 Dropbox 所解釋的那樣,入侵者還獲取了帳戶設定和安全訊息,例如允許應用程式相互通信的 API 金鑰、向軟體授予臨時權限的 OAuth 令牌以及與雙重認證相關的資料。如果您使用身份驗證器應用程式(例如 Google Authenticator),系統會提示您重設它。
Dropbox 重設密碼
發現網路攻擊後,Dropbox 立即重設密碼並中斷使用者與連結到 Dropbox Sign 的所有裝置的連線。此外,該公司還更新了所有 API 金鑰和 OAuth 令牌。這些措施必須防止攻擊者利用其所擁有的資訊。
據 Dropbox 稱,沒有跡象表明入侵者能夠查看用戶文件或破壞其 IT 基礎設施的其他部分。該公司聲稱“聯繫所有受此事件影響、需要採取行動的用戶”。 Dropbox 在新聞稿中指出,相關監管機構已收到有關資料外洩的通知。
如果您使用 Dropbox,我們建議您要格外小心。駭客利用竊取的資訊試圖進行攻擊並非不可能取得更敏感的數據,例如識別碼或銀行詳細資料。被盜資料實際上可以作為網路釣魚攻擊的起點。
來源 : Dropbox
