เกิดเหตุข้อมูลลูกค้าที่เกี่ยวข้องกับบริการ Dropbox Sign รั่วไหล โดยพบเหตุครั้งแรกเมื่อวันที่ 24 เมษายนที่ผ่านมา
Dropbox Sign เป็นบริการที่ใช้ในการบริหารจัดการลายเซ็นอิเล็กทรอนิกส์ เช่น การส่งและรับข้อมูล ทั้งนี้ข้อมูลที่รั่วไหลมีทั้ง อีเมล ชื่อผู้ใช้ โทรศัพท์ รหัสผ่าน Hash ข้อมูลการตั้งค่าบัญชี รวมถึงข้อมูล API Key และ OAuth Token และ MFA ทั้งนี้แม้จะไม่ได้เปิดบัญชีในบริการแต่หากคุณมีส่วนในการรับหรือลงนามเอกสารก็ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ด้วย แต่ยังไม่มีหลักฐานในการเข้าถึงเอกสารเรื่องการจ่ายเงินหรือไฟล์ของผู้ใช้ที่ถูกลงนาม
โดยจากคำบอกกล่าวของ Dropbox ยอมรับว่าบัญชีบริการถูกแทรกแซง(สำหรับการใช้โดยระบบอัตโนมัติ) ซึ่งแน่นอนว่ามีสิทธิ์สูงระดับนึงเลยทีเดียวเพราะต้องสามารถรันแอปพลิเคชันหรือสร้างความเป็นอัตโนมัติให้บริการต่างๆ
ทั้งนี้ทีมงานได้ทำการแจ้งเตือนลูกค้า ดีดลูกค้าออกจากบริการ และรีเซ็ตรหัสผ่านให้แล้ว พร้อมกำลังเรียกคืน API Key และ OAuth Token ทั้งนี้สำหรับผู้ใช้แอปในการทำ MFA ก็แนะนำให้รีเซ็ตด้วย พร้อมเปลี่ยนรหัสผ่านในบริการอื่นใดก็ตามที่ใช้ซ้ำ Credential เดียวกับ Dropbox Sign
ที่มา : https://www.securityweek.com/dropbox-data-breach-impacts-customer-information/