云存储和文件共享公司 Dropbox 披露了一个安全漏洞,导致未经授权访问敏感信息,包括密码和其他身份验证信息。
Dropbox 在向美国证券交易委员会提交的 8-K 文件中透露,此次违规行为针对的是其生产环境,特别是影响了 Dropbox Sign(以前称为 HelloSign),这是一个用于数字签名文档的平台。
“攻击者破坏了 Sign 后端的一个服务帐户,该帐户是一种用于执行应用程序和运行自动化服务的非人类帐户。因此,该帐户有权在 Sign 的生产环境中执行各种操作。然后,威胁参与者使用对生产环境的访问权限来访问我们的客户数据库。
访问的信息涉及所有 Dropbox Sign 用户,包括帐户设置、姓名和电子邮件。对于某些用户来说,电话号码、哈希密码等其他数据以及 API 密钥、OAuth 令牌和多因素身份验证等身份验证信息也受到了损害。
“从技术角度来看,Dropbox Sign 的基础设施在很大程度上与其他 Dropbox 服务是分开的。也就是说,我们彻底调查了这一风险,并认为该事件与 Dropbox Sign 基础设施无关,不会影响任何其他 Dropbox 产品。”
在法证调查人员参与并通知执法部门的同时,监管机构也是基于个人信息访问的推定而被告知的。
Dropbox 已采取措施减轻违规影响,包括轮换 OAuth 令牌以及为具有 Dropbox Sign API 访问权限的客户生成新的 API 密钥。 Dropbox表示,在 API 密钥轮换之前,某些功能将继续受到限制。
用户通知正在进行中,Dropbox 正在联系受影响的用户并提供必要行动的指导。该公司预计所有通知将在下周内完成。
尽管 Dropbox 预计不会对其运营或财务状况产生重大影响,但它承认潜在的风险,包括诉讼、客户行为的变化和监管审查的加强。
继2022 年针对其开发人员的网络钓鱼活动导致公司 GitHub 帐户和敏感信息遭到未经授权的访问之后,此次 Dropbox 数据泄露事件标志着这家文件共享巨头面临的另一项安全挑战。
发表评论
您还未登录,请先登录。
登录