Document

4月24日，我们发现有人未经授权访问Dropbox Sign（前身为HelloSign）生产环境。经过进一步调查，我们发现威胁行为者访问了 Dropbox Sign 客户信息。我们认为，此事件仅与 Dropbox Sign 基础设施有关，并未影响任何其他 Dropbox 产品。我们正在联系所有受此事件影响的用户，他们需要采取行动，并提供有关如何进一步保护其数据的分步说明。我们的安全团队还重置了用户的密码，注销了用户连接到 Dropbox Sign 的所有设备，并正在协调所有 API 密钥和 OAuth 令牌的轮换。请继续阅读以获取更多详细信息和常见问题解答。

4月24日，我们发现有人未经授权访问Dropbox Sign（前身为HelloSign）生产环境。经过进一步调查，我们发现威胁行为者访问的数据包括 Dropbox Sign 客户信息，例如电子邮件、用户名、电话号码和哈希密码，以及常规帐户设置和某些身份验证信息，例如 API 密钥、OAuth 令牌和多因素身份验证。

对于那些通过 Dropbox Sign 接收或签署文档但从未创建过帐户的用户，电子邮件地址和姓名也会被泄露。此外，如果您创建了 Dropbox Sign 或 HelloSign 帐户，但没有向我们设置密码（例如 “使用谷歌注册”），则不会存储或泄露任何密码。我们没有发现未经授权访问客户账户内容（即他们的文件或协议）或其付款信息的证据。

从技术角度来看，Dropbox Sign的基础架构与其他Dropbox服务在很大程度上是分开的。话虽如此，我们对这一风险进行了彻底调查，并认为此事件仅限于 Dropbox Sign 基础架构，并未影响任何其他 Dropbox 产品。

当我们意识到这个问题时，我们与行业领先的法医调查人员展开了调查，以了解发生了什么并降低用户面临的风险。

根据我们的调查，第三方获得了 Dropbox Sign 自动系统配置工具的访问权限。该行为者入侵了一个属于Sign后端的服务帐户，这是一种用于执行应用程序和运行自动化服务的非人工帐户。因此，该账户有权在 Sign 的生产环境中执行各种操作。然后，威胁行为者利用这种对生产环境的访问权限来访问我们的客户数据库。

作为回应，我们的安全团队重置了用户的密码，注销了用户连接到 Dropbox Sign 的所有设备，并正在协调所有 API 密钥和 OAuth 令牌的轮换。我们向数据保护监管机构和执法部门报告了此事件。

在 Dropbox，我们的首要价值是值得信赖。我们在保护客户及其内容时坚持高标准。我们没有达到这个标准，对于它给我们的客户带来的影响，我们深表歉意。

我们一直在夜以继日地努力降低客户面临的风险，我们正在联系所有受此事件影响且需要采取行动的用户，并提供有关如何进一步保护其数据的分步说明。

我们还在对这起事件进行广泛审查，以更好地了解这是怎么发生的，并防止将来出现此类威胁。我们感谢客户的合作，我们在这里为所有受此事件影响的人提供帮助。

•为了进一步保护您的帐户，我们已经过期了您的密码并注销了您连接到 Dropbox Sign 的所有设备。下次您登录 Sign 账户时，系统会向您发送一封重置密码的电子邮件。我们建议您尽快这样做。

•如果你是 API 客户，为确保账户安全，你需要通过生成新的 API 密钥、使用应用程序进行配置以及删除当前密钥来轮换 API 密钥。作为额外的预防措施，我们将在协调轮换时限制 API 密钥的某些功能。只有签名请求和签名功能才能继续运行，以保证您的业务连续性。轮换 API 密钥后，限制将被取消，产品将继续正常运行。您可以通过以下方式轻松创建新密钥。

•使用身份验证器应用程序进行多因素身份验证的客户应将其重置。请删除您的现有条目，然后重置它。如果您使用短信，则无需采取任何操作。

•如果您在任何其他服务上重复使用了 Dropbox Sign 密码，我们强烈建议您更改这些帐户的密码，并在可用时使用多重身份验证。

•没有。根据我们迄今为止的调查，我们认为此事件仅与 Dropbox Sign 基础设施有关，并未影响任何其他 Dropbox 产品。

•但是，如果您在任何其他服务上重复使用了 Dropbox Sign 密码，我们强烈建议您更改这些帐户的密码，并在可用时使用多重身份验证。可以在此处找到有关如何为您的 Dropbox Sign 帐户执行此操作的说明。