Document

4月24日，我們發現有人未經授權訪問Dropbox Sign（前身為HelloSign）生產環境。經過進一步調查，我們發現威脅行為者訪問了 Dropbox Sign 客户信息。我們認為，此事件僅與 Dropbox Sign 基礎設施有關，並未影響任何其他 Dropbox 產品。我們正在聯繫所有受此事件影響的用户，他們需要採取行動，並提供有關如何進一步保護其數據的分步説明。我們的安全團隊還重置了用户的密碼，註銷了用户連接到 Dropbox Sign 的所有設備，並正在協調所有 API 密鑰和 OAuth 令牌的輪換。請繼續閲讀以獲取更多詳細信息和常見問題解答。

4月24日，我們發現有人未經授權訪問Dropbox Sign（前身為HelloSign）生產環境。經過進一步調查，我們發現威脅行為者訪問的數據包括 Dropbox Sign 客户信息，例如電子郵件、用户名、電話號碼和哈希密碼，以及常規帳户設置和某些身份驗證信息，例如 API 密鑰、OAuth 令牌和多因素身份驗證。

對於那些通過 Dropbox Sign 接收或簽署文檔但從未創建過帳户的用户，電子郵件地址和姓名也會被泄露。此外，如果您創建了 Dropbox Sign 或 HelloSign 帳户，但沒有向我們設置密碼（例如 “使用谷歌註冊”），則不會存儲或泄露任何密碼。我們沒有發現未經授權訪問客户賬户內容（即他們的文件或協議）或其付款信息的證據。

從技術角度來看，Dropbox Sign的基礎架構與其他Dropbox服務在很大程度上是分開的。話雖如此，我們對這一風險進行了徹底調查，並認為此事件僅限於 Dropbox Sign 基礎架構，並未影響任何其他 Dropbox 產品。

當我們意識到這個問題時，我們與行業領先的法醫調查人員展開了調查，以瞭解發生了什麼並降低用户面臨的風險。

根據我們的調查，第三方獲得了 Dropbox Sign 自動系統配置工具的訪問權限。該行為者入侵了一個屬於Sign後端的服務帳户，這是一種用於執行應用程序和運行自動化服務的非人工帳户。因此，該賬户有權在 Sign 的生產環境中執行各種操作。然後，威脅行為者利用這種對生產環境的訪問權限來訪問我們的客户數據庫。

作為迴應，我們的安全團隊重置了用户的密碼，註銷了用户連接到 Dropbox Sign 的所有設備，並正在協調所有 API 密鑰和 OAuth 令牌的輪換。我們向數據保護監管機構和執法部門報告了此事件。

在 Dropbox，我們的首要價值是值得信賴。我們在保護客户及其內容時堅持高標準。我們沒有達到這個標準，對於它給我們的客户帶來的影響，我們深表歉意。

我們一直在夜以繼日地努力降低客户面臨的風險，我們正在聯繫所有受此事件影響且需要採取行動的用户，並提供有關如何進一步保護其數據的分步説明。

我們還在對這起事件進行廣泛審查，以更好地瞭解這是怎麼發生的，並防止將來出現此類威脅。我們感謝客户的合作，我們在這裏為所有受此事件影響的人提供幫助。

•為了進一步保護您的帳户，我們已經過期了您的密碼並註銷了您連接到 Dropbox Sign 的所有設備。下次您登錄 Sign 賬户時，系統會向您發送一封重置密碼的電子郵件。我們建議您儘快這樣做。

•如果你是 API 客户，為確保賬户安全，你需要通過生成新的 API 密鑰、使用應用程序進行配置以及刪除當前密鑰來輪換 API 密鑰。作為額外的預防措施，我們將在協調輪換時限制 API 密鑰的某些功能。只有簽名請求和簽名功能才能繼續運行，以保證您的業務連續性。輪換 API 密鑰後，限制將被取消，產品將繼續正常運行。您可以通過以下方式輕鬆創建新密鑰。

•使用身份驗證器應用程序進行多因素身份驗證的客户應將其重置。請刪除您的現有條目，然後重置它。如果您使用短信，則無需採取任何操作。

•如果您在任何其他服務上重複使用了 Dropbox Sign 密碼，我們強烈建議您更改這些帳户的密碼，並在可用時使用多重身份驗證。

•沒有。根據我們迄今為止的調查，我們認為此事件僅與 Dropbox Sign 基礎設施有關，並未影響任何其他 Dropbox 產品。

•但是，如果您在任何其他服務上重複使用了 Dropbox Sign 密碼，我們強烈建議您更改這些帳户的密碼，並在可用時使用多重身份驗證。可以在此處找到有關如何為您的 Dropbox Sign 帳户執行此操作的説明。