Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出

Dropboxは、同社の電子署名サービス「Dropbox Sign（旧HelloSign）」がサイバー攻撃を受けたことを明らかにした。

同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。

具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。

同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。

攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アクセスを行っていた。

（Security NEXT - 2024/05/02 ） ツイート

PR

関連記事

スパム対策機器にゼロデイ攻撃、ディレクトリサーバに横展開 - 慶応大
高齢者調査名簿や調査票が所在不明に - 名古屋市
「MongoDB」に脆弱性「MongoBleed」 - 「PoC」公開、早急に対応を
ボランティア連絡用端末で誤送信、メアドが流出 - 奈良県
寝台列車「TWILIGHT EXPRESS」の乗客情報を消失 - 誤操作か
メール転送エージェント「Exim」に脆弱性 - 「クリティカル」評価も
「Apache NiFi」の「Asana」連携の一部処理にRCE脆弱性
ワークフローツール「n8n」に今月3件目の「クリティカル」脆弱性
先週注目された記事（2025年12月21日〜2025年12月27日）
「IBM API Connect」に認証回避の脆弱性 - 暫定修正を提供