Dropbox Sign のハッキングでユーザーのメールアドレス、電話番号、パスワードが流出

マドリード、5月2日。 (ポータル/EP) –

Dropboxは、デジタル署名サービスDropbox Signに影響を及ぼし、電子メール、電話番号、ログインパスワードなどのユーザー情報が流出した「ハッキング」を認めた。

このテクノロジー企業は、4 月 24 日に Dropbox Sign 本番環境への不正アクセスを検出した後、調査を開始しました。このことから、彼らは当初、他の製品は差別化されたインフラストラクチャであるため影響を受けていないが、悪意のある攻撃者がユーザー情報にアクセスしたと結論付けました。 。

具体的な技術内容としては、 それは声明です 電子メール アドレス、ユーザー名、電話番号、ハッシュされたパスワードなどのデータの盗難だけでなく、アカウント設定や、API キー、Oauth トークン、多要素認証などのログイン要素も盗難されます。

このデータ漏洩は、アカウントを作成していないにもかかわらず、電子文書に署名するためにサービスを使用したユーザーにも影響します。 アカウントをお持ちのユーザーの場合、Google アカウントなど、別のサービスでログインできるようにしているユーザーは、パスワードを盗まれていません。 署名された文書や支払い情報も流出していません。

悪意のある攻撃者は、ユーザー データベースへのアクセスを含むさまざまなアクションに対する権限を持つ自動システム構成ツールの制御を取得した後、Sign の実稼働環境にアクセスしました。

これを受けて、Dropbox は影響を受けた人々に何が起こったのかを通知し、情報を保護するために取るべき手順のガイドを提供しました。 また、アカウントのパスワードをリセットし、別のデバイスでアカウントを開いているユーザーのセッションを終了し、API キーと Oauth トークンのローテーションを調整しました。