クラウドストレージ企業のDropboxは、ハッカーが同社の電子署名プラットフォームDropbox Signの本番システムに侵入し、認証トークン、MFAキー、ハッシュ化されたパスワード、顧客情報にアクセスしたと発表した。
Dropbox Sign(旧HelloSign)は電子署名プラットフォームで、顧客はオンラインで文書を送信し、法的拘束力のある署名を受け取ることができる。
同社によると、4月24日にDropbox Signの本番システムへの不正アクセスを検知し、調査を開始した。
この調査により、脅威行為者はプラットフォームのバックエンド サービスの一部である Dropbox Sign 自動システム設定ツールにアクセスしたことが判明した。
この設定ツールにより、脅威行為者は昇格した権限でアプリケーションと自動化サービスを実行できるようになり、攻撃者は顧客データベースにアクセスできるようになりました。
「さらなる調査の結果、一般的なアカウント設定や、APIキー、OAuthトークン、多要素認証などの特定の認証情報に加え、電子メール、ユーザー名、電話番号、ハッシュ化されたパスワードなどのDropbox Signの顧客情報を含むデータに、脅威行為者がアクセスしていたことが判明しました」とDropboxは警告している。
電子署名プラットフォームを利用したがアカウントを登録しなかったユーザーのメールアドレスと名前も流出した。
同社によると、脅威行為者が顧客の文書や契約書にアクセスした形跡はなく、他のDropboxサービスのプラットフォームにもアクセスしていないという。
Dropboxは、全ユーザーのパスワードをリセットし、Dropbox Signへの全セッションをログアウトし、顧客によってローテーションされるまでAPIキーの使用方法を制限したとしている。
同社はセキュリティ勧告の中で、APIキーをローテーションして再び完全な権限を得る方法に関する追加情報を提供している。
Dropbox SignでMFAを利用している人は、認証アプリから設定を削除し、ウェブサイトから取得した新しいMFAキーで再設定する必要がある。
Dropboxによると、現在、このインシデントの影響を受けたすべてのお客様に電子メールを送信しているとのことです。
今のところ、Dropbox Signをご利用のお客様は、このデータを利用して平文のパスワードなどの機密情報を収集するフィッシング キャンペーンにご注意ください。
Dropbox Sign からパスワードの再設定を促すメールが届いた場合は、メールに記載されているリンクにはアクセスしないでください。代わりに、Dropbox Signに直接アクセスし、サイトからパスワードをリセットしてください。
2022年、Dropboxは、脅威行為者が盗んだ従業員の認証情報を使って同社のGitHubアカウントに侵入し、130のコード リポジトリを盗んだ後にセキュリティ侵害を公表しました。
Comments