Dropbox Discloses Breach of Digital Signature Service Affecting All Users
2024/05/02 TheHackerNews — 4月24日に Dropbox が明らかにしたのは、Dropbox Sign (旧 HelloSign) が正体不明の脅威アクターにより侵害され、電子署名製品の全ユーザーに関連するEメール/ユーザー名/一般的なアカウント設定などが不正アクセスを受けたことだ。同社は、米国証券取引委員会 (SEC) に提出した書類の中で、4月24日に不正アクセスに気づいたと述べている。なお、Dropbox は、2019年1月に HelloSign の買収計画を発表していた。
Dropbox は Form 8-K 提出書類で、「脅威アクターは、一般的なアカウント設定に加え、Eメールやユーザー名などの、Dropbox Sign の全ユーザーに関連するデータにアクセスしていた」と述べている。
さらに恐ろしいことに、この侵害は Dropbox Sign のアカウントを所有していないが、Dropbox Sign を介してドキュメントの受取や署名を行った第三者にも影響を及ぼしており、その名前やメールアドレスも流出しているという。
これまでに行われた調査では、契約書やテンプレートといったユーザーのアカウントの内容や支払い情報に、攻撃者がアクセスしたという証拠は見つかっていない。また、今回のインシデントは Dropbox Sign のインフラに限定されているという。
攻撃者は、Dropbox Sign の自動システム設定ツールにアクセスし、Sign のバックエンドの一部であるサービス・アカウントを侵害し、アカウントの昇格権限を悪用して顧客データベースにアクセスしたとみられている。
Dropbox は、このハッキングにより影響を受けた、顧客の数については公表していない。同社は、影響を受けた全てのユーザーに対して、情報を保護するための “step-by-step のインストラクション” を提供し、連絡を取り合っているところだと述べている。
Dropbox Sign のブログには、「当社のセキュリティ・チームは、ユーザーのパスワードをリセットし、Dropbox Sign に接続していたデバイスからユーザーをログアウトさせ、全ての API キーと OAuth トークンのローテーションを調整している」と記されている。
mた、Dropbox は、この件に関して、法執行機関や規制当局と協力していると述べている。この情報漏えいの、さらなる分析は現在も続いている。
2年以内に発生した Dropbox を標的にしたインシデントは、今回で2件目となる。同社は 2022年11月に、フィッシング・キャンペーンの被害に遭い、GitHub 上の 130 のソースコード・リポジトリに、正体不明の脅威アクターが 不正アクセスしたことを公表している。
この、Dropbox の侵害ですが、Dropbox Sign のアカウントを所有していないが、Dropbox Sign を介してドキュメントの受取や署名を行った、第三者にも影響が及ぶという点が、とても気になります。ご利用の方は、ご注意ください。よろしければ、Dropbox で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.