Dropbox Sign 黑客攻击泄露用户的电子邮件、电话号码和密码

马德里，5 月 2 日。 （传送门/EP）-

Dropbox 承认数字签名服务 Dropbox Sign 受到了一次“黑客攻击”，导致电子邮件、电话号码和登录密码等用户信息被泄露。

该技术公司在 4 月 24 日检测到对 Dropbox Sign 生产环境的未经授权的访问后启动了调查。由此他们初步得出结论，没有其他产品受到影响，因为它们是差异化的基础设施，但恶意行为者已经访问了用户信息。

具体来说，技术细节 这是一个声明 电子邮件地址、用户名、电话号码和哈希密码等数据被盗，还有 API 密钥、Oauth 令牌和多因素身份验证等帐户设置和登录元素。

这种数据泄露还会影响那些尽管没有创建帐户但使用该服务签署电子文档的用户。 对于拥有帐户的用户来说，那些启用了其他服务（例如 Google 帐户）登录的用户的密码并未被盗。 签署的文件和付款信息也没有被公开。

恶意攻击者在获得自动化系统配置工具的控制权后，获得了对 Sign 生产环境的访问权限，该工具拥有执行各种操作的权限，包括访问用户数据库。

作为回应，Dropbox 已向受影响的用户通报了所发生的情况，并提供了他们应采取的步骤来保护其信息的指南。 他们还重置了帐户密码，关闭了在不同设备上打开帐户的用户会话，并协调了 API 密钥和 Oauth 令牌的轮换。