dropbox 宣布其 dropbox sign 电子签名平台存在安全漏洞,表明黑客设法渗透到生产系统中。4 月 24 日检测到未经授权的访问,促使云存储公司立即进行调查。dropbox sign(以前称为 hellosign)有助于在线发送具有法律约束力的签名文档。调查发现,攻击者访问了 dropbox sign 使用的自动化系统配置工具,授予他们提升的权限。这种违规行为允许肇事者以更高的访问权限执行应用程序和服务,从而导致客户数据库受到损害。
数据泄露的程度
泄露的数据包含一系列敏感信息,包括客户电子邮件、用户名、电话号码和哈希密码。此外,还访问了常规帐户设置和特定身份验证详细信息,例如 api 密钥、oauth 令牌和多重身份验证 (mfa) 密钥。dropbox保证,没有证据表明攻击者可以访问客户的文件或协议。此外,该漏洞已包含在 dropbox sign 平台上,没有迹象表明其他 dropbox 服务受到影响。
dropbox 的缓解措施和建议
为了应对这一违规行为,dropbox 已采取多项措施来保护客户帐户并防止进一步的未经授权的访问。该公司已重置所有 dropbox sign 用户的密码,终止了平台上的所有活动会话,并对 api 密钥的使用施加了限制,直到客户执行轮换。dropbox 还建议客户删除其当前的 mfa 配置,并通过 dropbox sign 网站设置新的 mfa 密钥。为了帮助客户浏览这些安全更新,dropbox 将直接联系受事件影响的人员。
此外,该公司警告客户要警惕潜在的网络钓鱼活动,这些活动可能会利用泄露的数据来索取敏感信息。我们警告用户不要点击声称来自 dropbox sign 的电子邮件中的链接进行密码重置,而是鼓励用户手动导航到 dropbox sign 网站以更改其密码。
鉴于这一安全漏洞,dropbox 正在积极与客户沟通,以确保他们了解情况并采取必要措施来保护他们的帐户。该公司希望减轻这次网络攻击的潜在影响,并恢复对其电子签名平台的信任。
未经允许不得转载:ag凯发k8国际 » dropbox 对影响电子签名服务的安全漏洞做出回应
