Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出

Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。

同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。

具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。

同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。

攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アクセスを行っていた。

(Security NEXT - 2024/05/02 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

転職支援サイトに不正アクセス - 海外サイトに会員情報
「Chrome」にゼロデイ脆弱性 - アップデートの実施を
KADOKAWA関連の複数サイトで障害 - 「ニコ動」16日まで配信中止
Veeamのデータ復元調整ツールに脆弱性 - 乗っ取りのおそれ
「Trend Micro Apex One」に7件の脆弱性 - アップデートで修正
機械学習ライブラリ「PyTorch」の分散RPCフレームワークに深刻な脆弱性
複数脆弱性に対処したGPUのアップデートをリリース - NVIDIA
BitDefenderのセキュリティ製品に脆弱性 - アップデートを提供
Arm製「Mali GPUカーネルドライバ」の旧版に脆弱性 - 悪用も
「WordPress」向けプラグイン「Icegram Express」に脆弱性 - すでに攻撃も