近日,云存储服务提供商Dropbox揭露了一起针对其Dropbox Sign服务的重大安全事件,该事件导致部分客户的个人资讯被未授权存取。Dropbox Sign作为电子签署解决方案,一直以其无缝的工作流程受到用户青睐。
根据监管机构的文件,Dropbox管理层在4月24日意识到这一事件,并立即启动应急程序进行调查、控制和补救。调查发现,攻击者已经存取了所有Dropbox Sign使用者的相关资料,包括电子邮件、使用者名称以及一般帐户设定。对于部分使用者,攻击者还进一步存取了电话号码、杂凑密码以及API密钥、OAuth token和多因素身份验证等敏感信息。
值得注意的是,那些没有设立过Dropbox账号但通过Dropbox Sign接收或签署过文件的厂商,其电子邮件信箱和姓名也可能被泄露。幸运的是,Dropbox并未发现攻击者存取过用户账户的内容,如协定、范本或付款资讯,这在一定程度上减轻了事件的严重性。
关于攻击者的入侵方式,Dropbox的博客文章指出,第三方获得了对一个“Dropbox Sign的自动系统组态工具”的存取权限。攻击者入侵了一个服务帐户,该帐户用于执行应用程式和自动化服务,并具有在Sign的生产环境中执行各种操作的权限。
在事件发生后,Dropbox的资讯安全团队迅速采取行动,重设了受影响用户的密码,登出任何连接到Dropbox Sign的设备,并轮换了所有的API金钥和OAuth token。目前,Dropbox的调查仍在进行中,受影响的客户预计将在一周内收到进一步通知。
虽然Dropbox表示此次事件对其财务状况没有造成影响,但用户数据的安全性始终是公司需要高度关注的重点。同时,用户也应提高自身的网络安全意识,注意保护个人信息和账户安全。
0条评论