Dropbox 报告其 Sign 产品的敏感身份验证数据遭到泄露

阅读量30021

发布时间 : 2024-05-06 11:11:37

云存储和文件共享公司 Dropbox 披露了一个安全漏洞,导致未经授权访问敏感信息,包括密码和其他身份验证信息。

Dropbox 在向美国证券交易委员会提交的 8-K 文件中透露,此次违规行为针对的是其生产环境,特别是影响了 Dropbox Sign(以前称为 HelloSign),这是一个用于数字签名文档的平台。

“攻击者破坏了 Sign 后端的一个服务帐户,该帐户是一种用于执行应用程序和运行自动化服务的非人类帐户。因此,该帐户有权在 Sign 的生产环境中执行各种操作。然后,威胁参与者使用对生产环境的访问权限来访问我们的客户数据库。

访问的信息涉及所有 Dropbox Sign 用户,包括帐户设置、姓名和电子邮件。对于某些用户来说,电话号码、哈希密码等其他数据以及 API 密钥、OAuth 令牌和多因素身份验证等身份验证信息也受到了损害。

“从技术角度来看,Dropbox Sign 的基础设施在很大程度上与其他 Dropbox 服务是分开的。也就是说,我们彻底调查了这一风险,并认为该事件与 Dropbox Sign 基础设施无关,不会影响任何其他 Dropbox 产品。”

在法证调查人员参与并通知执法​​部门的同时,监管机构也是基于个人信息访问的推定而被告知的。

Dropbox 已采取措施减轻违规影响,包括轮换 OAuth 令牌以及为具有 Dropbox Sign API 访问权限的客户生成新的 API 密钥。 Dropbox表示,在 API 密钥轮换之前,某些功能将继续受到限制

用户通知正在进行中,Dropbox 正在联系受影响的用户并提供必要行动的指导。该公司预计所有通知将在下周内完成。

尽管 Dropbox 预计不会对其运营或财务状况产生重大影响,但它承认潜在的风险,包括诉讼、客户行为的变化和监管审查的加强。

继2022 年针对其开发人员的网络钓鱼活动导致公司 GitHub 帐户和敏感信息遭到未经授权的访问之后,此次 Dropbox 数据泄露事件标志着这家文件共享巨头面临的另一项安全挑战。

本文转载自:

如若转载,请注明出处: https://thecyberexpress.com/dropbox-data-breach-of-sensitive-data/

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66