クラウドストレージ企業のDropBoxは、同社の電子署名プラットフォーム「DropBox Sign」(旧名HelloSign)の本番環境が不正アクセスの被害を受け、認証トークン、多要素認証(MFA)キー、ハッシュ化されたパスワード、顧客情報が流出したと発表した。
同社によると、4月24日にDropBox Signの本番環境での不正アクセスが検出され、セキュリティチームが調査を行った。調査の結果、攻撃者がDropBox Signの自動システム設定ツールを乗っ取り、このツールを利用して特権を持つアプリケーションや自動サービスを実行し、顧客データベースにアクセスへのアクセス件を手に入れたことが判明した。
また、調査を進める中で、顧客情報(メールアドレス、ユーザー名、電話番号、ハッシュ化されたパスワード)のほか、APIキー、OAuthトークン、多要素認証情報などが流出していることが明らかになった。
DropBoxは、顧客の文書や契約が流出した証拠は見つかっておらず、他のDropBoxサービスのプラットフォームへのアクセスも確認されていないと述べている。
DropBoxはすべてのユーザーのパスワードをリセットし、DropBox Signの全セッションをログアウトし、顧客がAPIキーを再発行するまでAPIキーの使用方法を制限する措置を講じた。
さらに、DropBox Signを利用しているがアカウントを登録していないユーザーのメールアドレスと名前も漏洩したと発表した。
現在、影響を受けた顧客に対してメールで通知を行っているとのこと。