云端硬碟业者Dropbox昨(2)日对主管机关美国证管(SEC)会通报,旗下数位签章服务HelloSign遭骇,影响该服务所有用户,包括部分用户金钥及MFA验证资讯遭到骇客存取,接收过其签章文件用户的电邮信箱恐也外泄。
HelloSign是Dropbox 2019年收购的云端签核与文件工作流程平台服务,当时其用户超过80万。在收购后,该方案改名为Dropbox Sign。
Dropbox是在4月24日获知Dropbox Sign的营运环境发生非经授权的存取活动。该公司安全回应部门很快终止了事件。经过调查,Dropbox发现攻击者已存取了这项服务的资讯,影响所有用户,包括用户电子邮件信箱、使用者名称及一般的帐号设定。另有部分用户的电话号码、杂凑加密过的密码及特定验证资讯,像是API金钥、OAuth token、多因素验证(multiple-factor authentication,MFA)资讯。
在其官网上,Dropbox进一步说明,即使用户没有Dropbox帐号,但曾经接到或以Dropbox Sign签收文件的用户,其电子邮件及使用者名称也会曝光。反过来说,如果用户曾建立Dropbox Sign或HelloSign帐号,但未设立密码(即他们是用「Sign up with Google Account」),则没有密码曝险的问题。
Dropbox说,根据目前调查结果,没有证据显示用户帐号下的内容,像是其文件、合约、范本或是支付资讯遭骇客存取。该公司也认为,事件范围仅限Dropbox Sign的基础架构,并不影响Dropbox其他产品的营运环境。
该公司已重设用户密码、将任何连结Hello Sign的装置登出,也进行所有API金钥、OAuth tokens轮换。这家业者说已通报执法机关,会持续调查,事件矫正修复行动也持续进行中,并已开始通知所有受影响的用户采取必要行动。
不过Dropbox并未说明电子签章服务确切受影响的用户有多少,或是攻击者如何存取Dropbox Sign环境。
在营运面上,Dropbox相信此事件不会影响整体业务作业,但是他们尚未能评估事件之后对公司财务及营运结果的效应,因为可能会有官司、客户行为改变以及主管机关的审查。
这是Dropbox近年最新一起被骇事件。2016年媒体发现这家云端硬碟业者曾在2012年被骇,致使近7,000万用户帐密外泄。2022年11月该公司员工被网钓攻击,让骇客存取了130个GitHub程式储存库。