Dropbox Signが不正アクセスされ顧客情報 窃取の可能性を発表
2024年4月24日(米現地時間)にクラウドストレージ会社 Dropboxは、同社が提供するサービス「Dropbox Sign」へハッカーが不正アクセスし、パスワードなどの機密情報にアクセスされた可能性がある事をSEC(米国証券取引委員会)に報告しました。なお、「Dropbox Sign」以外への影響は発生していないとの事です。
日本でも被害が出ており、2024年5月16日に情報通信研究機構(NICT)が運営するセキュリティ講習「実践サイバー演習 RPCI」で利用していた「Dropbox Sign」で不正アクセスが発生し、個人情報漏洩の可能性を発表しています。
不正アクセスの概要と経緯
4 月 24 日に、「Dropbox Sign」(旧 HelloSign) 本番環境への不正アクセスが確認。さらに調査を進めたところ、攻撃者が Dropbox Sign の顧客情報にアクセスしていたことが判明。
このインシデントの影響を受け、対策措置の必要があるすべてのユーザーに連絡し、データをさらに保護する方法について段階的な指示を提供。
なおこのインシデントは Dropbox Sign インフラに限定されたものであり、他の Dropbox 製品には影響としています。
窃取された可能性のある個人情報
・メール
・ユーザー名
・電話番号
・ハッシュ化されたパスワード
・API キー
・OAuth トークン
・MFA認証などの認証情報
不正アクセスへの対策
システム側の対策としてDropbox Signのパスワードリセット、Dropbox Signに接続していたデバイスからユーザーの強制ログアウト、すべてのAPIキーとOAuthトークンがローテーションされるまで使用の制限を実施。
多要素認証に認証アプリを使用しているユーザーは、認証アプリをリセットする必要があり、
また、アカウントにログインすると、ユーザーにはパスワードをリセットするためのメールが送信されるので、できるだけ早くこれを行うことを勧めてします。
公式リリース
EX-99.1 2 may2024exhibit991.htm EX-99.1
知ると面白い記事