Dropbox Sign 数据泄露事件

关键要点

Dropbox 报告其云服务 Dropbox Sign 的用户数据遭到威胁者入侵。被泄露的数据包括用户的电话号码、哈希密码和身份验证信息。尽管未发现威胁者访问用户帐户内容，但此事件对电子签名服务的信任造成了重大影响。此事件可能引发进一步的网络攻击，影响更广泛的公司生态系统。

在 4 月 29 日，广受欢迎的云服务 Dropbox 报告称，威胁者已经获得了对其 Dropbox Sign之前称为 Hello Sign所有用户数据的访问权并进行了侵入。

在向 证券交易委员会 提交的文件中，Dropbox 指出，在部分用户中，威胁者还访问了电话号码、哈希密码及某些身份验证信息，如 API 密钥、OAuth 令牌和多因素认证信息。

“根据我们在提交此报告时所掌握的信息，没有证据表明威胁者访问了用户帐户的内容，如他们的协议或模板，或支付信息，”SEC 文件中指出。

安全专家对此事件表示，这对 Dropbox 及整个电子签名行业来说都是一个重大打击。自 1990 年代网络兴起以来，已经过去了三十年，人们刚开始习惯于使用电子签名进行商业交易。从销售合同到报价函、供应商协议以及房地产交易，企业使用 Dropbox Sign 发送PDF、微软Word文档和 Google Docs 以进行电子商务。

“此次泄露事件尤其重要，因为 API 密钥和 OAuth 令牌 都遭到了泄露，”Synopsys 软件完整性组的研究员雷凯利表示。“API 密钥通常是静态的，不会改变，以便组织可以围绕他们的服务自动化他们的流程。当这些密钥遭到泄露时，恶意行为者可以获得对可能会对受害者造成敏感或经济后果的服务的访问权。”

Dropbox 的安全漏洞代表了一个令人 alarm 的多米诺效应，这种效应远不止于公司本身，暗影网络威胁及参与者的战略互动管理总监 Nathaniel Jones 说道。他指出，员工经常在许多应用程序和工具中重复使用密码，因此被泄露的信息可能在其他云服务中打开了进入点。

“另一个潜在影响是，如果这些数据被用于通过操作被攻破的帐户进行攻击：利用员工对合法企业服务的信任来进行的恶意活动，” Jones 说。“虽然电子邮件一直以来是进行钓鱼攻击的主要渠道，但威胁者及其策略在不断适应和演变，以跟上代表新的剥削途径的新技术的出现。最近几个月，我们看到使用 Microsoft Teams 和 Dropbox 进行钓鱼攻击的情况大幅上升。”

Inversion6 的首席信息安全官汤姆邵Tom Siu补充说，这次数据泄露的潜在影响是，文件签名过程的双方可能会成为欺诈活动的目标。Siu 表示，风险在于，通过该服务签署文件但没有自己帐户的人，可能不会意识到 Dropbox Sign 已经发生泄露，除非公司通过公开的电子邮件联系他们。

Siu 还指出，这一事件在 5 月 1 日曝光，距离世界密码日仅一天涉及另一个源于服务帐户泄露的事件。他表示，这只是与密码和帐户访问管理相关的几个非消费者问题之一，这些问题给信息安全和 IT 团队的协作带来了挑战。

外网免费节点加速

“这里的一个重要结论是，Dropbox Sign 是 Dropbox 在 2019 年收购 Hello Sign 的产品，收购/合并前后的安全评估已经成为 IT 业务的基本框架的一部分，”Siu 解释道。“即使是五年后，安全问题仍可能在不同的产品线中出现。值得称赞的是 Dropbox 对其 5 月 1 日博客 中披露的透明和坦诚。”