DropBox 宣布其 DropBox Sign 电子签名平台存在安全漏洞,表明黑客设法渗透到生产系统中。4 月 24 日检测到未经授权的访问,促使云存储公司立即进行调查。DropBox Sign(以前称为 HelloSign)有助于在线发送具有法律约束力的签名文档。调查发现,攻击者访问了 DropBox Sign 使用的自动化系统配置工具,授予他们提升的权限。这种违规行为允许肇事者以更高的访问权限执行应用程序和服务,从而导致客户数据库受到损害。
数据泄露的程度
泄露的数据包含一系列敏感信息,包括客户电子邮件、用户名、电话号码和哈希密码。此外,还访问了常规帐户设置和特定身份验证详细信息,例如 API 密钥、OAuth 令牌和多重身份验证 (MFA) 密钥。DropBox保证,没有证据表明攻击者可以访问客户的文件或协议。此外,该漏洞已包含在 DropBox Sign 平台上,没有迹象表明其他 DropBox 服务受到影响。
DropBox 的缓解措施和建议
为了应对这一违规行为,DropBox 已采取多项措施来保护客户帐户并防止进一步的未经授权的访问。该公司已重置所有 DropBox Sign 用户的密码,终止了平台上的所有活动会话,并对 API 密钥的使用施加了限制,直到客户执行轮换。DropBox 还建议客户删除其当前的 MFA 配置,并通过 DropBox Sign 网站设置新的 MFA 密钥。为了帮助客户浏览这些安全更新,DropBox 将直接联系受事件影响的人员。
此外,该公司警告客户要警惕潜在的网络钓鱼活动,这些活动可能会利用泄露的数据来索取敏感信息。我们警告用户不要点击声称来自 DropBox Sign 的电子邮件中的链接进行密码重置,而是鼓励用户手动导航到 DropBox Sign 网站以更改其密码。
鉴于这一安全漏洞,DropBox 正在积极与客户沟通,以确保他们了解情况并采取必要措施来保护他们的帐户。该公司希望减轻这次网络攻击的潜在影响,并恢复对其电子签名平台的信任。
未经允许不得转载:表盘吧 » DropBox 对影响电子签名服务的安全漏洞做出回应
