Dropbox數位簽章服務被駭影響所有用戶，包含曾接過文件的用戶

雲端硬碟業者Dropbox昨（2）日對主管機關美國證管（SEC）會通報，旗下數位簽章服務HelloSign遭駭，影響該服務所有用戶，包括部分用戶金鑰及MFA驗證資訊遭到駭客存取，接收過其簽章文件用戶的電郵信箱恐也外洩。

HelloSign是Dropbox 2019年收購的雲端簽核與文件工作流程平臺服務，當時其用戶超過80萬。在收購後，該方案改名為Dropbox Sign。

Dropbox是在4月24日獲知Dropbox Sign的營運環境發生非經授權的存取活動。該公司安全回應部門很快終止了事件。經過調查，Dropbox發現攻擊者已存取了這項服務的資訊，影響所有用戶，包括用戶電子郵件信箱、使用者名稱及一般的帳號設定。另有部分用戶的電話號碼、雜湊加密過的密碼及特定驗證資訊，像是API金鑰、OAuth token、多因素驗證（multiple-factor authentication，MFA）資訊。

在其官網上，Dropbox進一步說明，即使用戶沒有Dropbox帳號，但曾經接到或以Dropbox Sign簽收文件的用戶，其電子郵件及使用者名稱也會曝光。反過來說，如果用戶曾建立Dropbox Sign或HelloSign帳號，但未設立密碼（即他們是用「Sign up with Google Account」），則沒有密碼曝險的問題。

Dropbox說，根據目前調查結果，沒有證據顯示用戶帳號下的內容，像是其文件、合約、範本或是支付資訊遭駭客存取。該公司也認為，事件範圍僅限Dropbox Sign的基礎架構，並不影響Dropbox其他產品的營運環境。

該公司已重設用戶密碼、將任何連結Hello Sign的裝置登出，也進行所有API金鑰、OAuth tokens輪換。這家業者說已通報執法機關，會持續調查，事件矯正修復行動也持續進行中，並已開始通知所有受影響的用戶採取必要行動。

不過Dropbox並未說明電子簽章服務確切受影響的用戶有多少，或是攻擊者如何存取Dropbox Sign環境。

在營運面上，Dropbox相信此事件不會影響整體業務作業，但是他們尚未能評估事件之後對公司財務及營運結果的效應，因為可能會有官司、客戶行為改變以及主管機關的審查。

這是Dropbox近年最新一起被駭事件。2016年媒體發現這家雲端硬碟業者曾在2012年被駭，致使近7,000萬用戶帳密外洩。2022年11月該公司員工被網釣攻擊，讓駭客存取了130個GitHub程式儲存庫。