Dropbox近日分享了一份關於Dropbox Sign電子簽署資料外洩的報告,雖然並沒有列明事故發生的確實日期,但提到公司員工在4月24日發現受到攻擊,以下將會講解事故的詳情,以及保護自己的方法。
Dropbox Sign遭入侵
身份不明的攻擊者成功入侵Dropbox Sign服務帳號,並存取平台內部的自動設定機制,利用這種方式,駭客就能觸及含有Dropbox Sign用戶資料的數據庫,結果導致以下資料被盜:
- 用戶名稱
- 電郵地址
- 電話號碼
- 密碼(已被hash)
- Dropbox Sign API的驗證金鑰
- OAuth認證token
- SMS和應用程式雙重認證token
如果用戶沒有建立帳號但曾經進行互動,便只會外洩姓名和電郵地址,Dropbox聲稱沒有發現存取用戶帳號的跡象,即文件、協定和付費資料,作為防守性考量,Dropbox重設所有Dropbox Sign帳號的密碼和登出所有正在登入的帳號,所以用戶需要重新登入服務和設定新密碼。
不影響Dropbox用戶
Dropbox Sign首身是HelloSign,是Dropbox的獨立雲端文件處理工具,主要功用是答署電子文件,類似的服務有DocuSign和Adobe Sign,在公司釋出的文件中,Dropbox Sign的基建設施很大程度與Dropbox服務分離,設查結果也顯示Dropbox Sign入侵是獨立事故,對Dropbox產品並沒有影響,雲端檔案儲存服務的使用者並未受到威脅,當中包括Sign的帳號連結到主Dropbox帳號的用戶。
Dropbox Sign遭入侵如何保護自己?
Dropbox已經重設所有Dropbox Sign帳號的密碼,所以用戶需要更改密碼,建議採用全新的密強力組合密碼,由於雙重認證的token也被盜的關係,用戶也應該進行重設,如果使用SMS的話,重設會自動進行,如果使用應用程式則需要用戶自行手動重設,只需再次在Dropbox Sign進行登記驗證應用程式的過程。
由於Dropbox Sign API的驗證金鑰也被盜的關係,如果公司透過API使用有關工具,就有重新產生新金鑰的需要,最後,如果在其他服務上使用相同密碼,便應該盡快更改密碼,尤其連用戶名稱、電郵地址或電話號碼都與Dropbox Sign帳號相同的用戶。
資料來源:Kaspersky Blog