大型电子签名平台Dropbox Sign遭受黑客攻击，暴露大量用户数据

针对漏洞情况，Dropbox 表示其已经与行业领先的取证调查人员一起展开调查，以了解发生了什么，并降低用户面临的风险。调查结果显示，未知的第三方获得了Dropbox Sign自动系统配置工具的访问权限。该行为者入侵了作为 Dropbox Sign 后端一部分的服务账户，这是一种用于执行应用程序和运行自动化服务的非人类账户。随后，该威胁行为者利用这一权限访问了Dropbox Sign的客户数据库。

为了挽回用户，该公司表示已重置了用户密码，将用户从所有活动会话和设备中注销，并正在“协调所有 API 密钥和 OAuth 令牌的轮换”。该公司还通过电子邮件向用户通报了这一漏洞，并向他们提供了保护账户安全和更改密码的指导。

然而，这些举动并没有消除用户对于其数据安全和潜在后果的担忧。

印度一家人力公司 Advaita Bedanta Consultants的主管 Shalu Bindlish表示，作为一家人力招聘和咨询公司，他们高度依赖 Dropbox Sign 等安全平台来管理敏感的候选人和客户信息。这次漏洞很可能会造成简历和合同等机密文件被泄露。

Bindlish认为，这次漏洞事件反映了在这些平台内建立健全安全协议的必要性。“Dropbox 承诺解决这一问题并改进其安全措施，这让我们深受鼓舞。我们期待着他们能够清楚地了解这次漏洞事件，以及他们为防止今后发生类似事件而采取的措施。”

商用车市场 MotorFloor 也提出了类似的担忧。MotorFloor 创始人Subrat Kar表示，他们非常依赖 Dropbox 来安全地存储文档并与客户和合作伙伴共享。

Kar表示，这一漏洞令人担忧，特别是考虑到最近网络攻击的增加。“我希望 Dropbox 能从这次事件中吸取教训，实施更强大的安全措施，重新赢得我们的信任。我们需要可靠的云存储解决方案，我相信Dropbox有潜力成为这样的解决方案，只要他们优先考虑强大的网络安全。”

近年来，电子签名公司因远程办公激增和非接触式文档签名需求而快速增长。不仅是国外，国内也涌现出了大量电子签名服务商。由于电子签名往往与合同等敏感文件密切相关，一旦服务商受到黑客攻击，或是因其他原因导致数据泄露，很有可能会对用户带来重大影响。

对此，Counterpoint Research公司研究副总裁、合伙人Neil Shah表示，这一事件表明，电子签名应用中采取强有力的安全措施以确保用户信任是非常值得的。

Shah认为，随着Dropbox等电子签名服务商的规模越来越大，他们需要在各方面提高安全水平，尤其是对收购的公司。被收购公司的整合始终是一个挑战，存在安全漏洞的可能性很大。

此外，Shah还表示，人工智能在网络安全中的应用将是未来几年的重点，企业如何智能地学习、预测和防范威胁行为，至少需要领先两步。

为了挽留用户的信任，Dropbox承认了自己的不足，并就造成的不便和影响向用户道歉。“在保护客户及其内容方面，我们对自己的要求很高。我们在这里没有达到这个标准，我们对给客户造成的影响深表歉意。”