IT 之家 5 月 4 日消息,海外雲服務提供商 Dropbox 昨日向美國證券交易委員會(SEC)通報,旗下電子簽名平台 Dropbox Sign(原名 HelloSign)遭到黑客入侵,大量用戶的密鑰 / MFA 驗證信息遭到洩露。
▲ Dropbox Sign 簽名平台
IT 之家注意到,Dropbox 安全部門在 4 月 24 日發現 Dropbox Sign 服務器出現未經授權的訪問活動。經過調查,Dropbox 發現黑客已經侵入服務器,獲取了大量用戶的郵箱、用戶名、電話号碼、(經過哈希加密過的)密碼、API 密鑰、OAuth 令牌、MFA 驗證信息等内容。
據悉,本次安全事故影響到所有曾經使用過 Dropbox Sign 的用戶(即使用戶沒有 Dropbox 賬号),隻要用戶使用 Dropbox Sign 簽署過文件,那麽他們的電子郵箱和用戶名就已經遭到洩露。
Dropbox 表示,根據目前調查結果,沒有證據顯示用戶賬号下的文件、合同、模闆、支付信息等遭到黑客獲取。相關安全事故波及範圍僅限于 Dropbox Sign 的基礎架構,并不影響 Dropbox 其他産品的運營環境。不過 Dropbox 并未說明究竟多少用戶受到本次安全事故影響,也沒有披露黑客究竟通過什麽手段侵入了服務器。
IT 之家注意到,這是 Dropbox 近年來最新一起安全事件。2016 年有媒體曝光該公司曾在 2012 年被黑客攻擊,導緻近 7000 萬項用戶信息洩露。2022 年 11 月該公司員工被網絡釣魚攻擊,讓黑客獲得了公司内部 130 個 GitHub 庫的内容。
