드롭박스: 해커들이 비밀번호, 인증 정보 등 고객 데이터를 훔쳤습니다

해커들이 다시 드롭박스 사용자들의 문을 두드렸습니다. 전자 서명 서비스인 드롭박스 사인이 사용자 이름, 이메일, 전화번호 등과 같은 정보가 유출되었습니다.

그들의 SEC 제출에 따르면, 드롭박스는 2024년 4월 24일에 유출 사실을 인지했습니다. 그들은 즉시 사이버 보안 조치를 활성화하여 침해를 회수하고 차단했습니다.

전화번호, 해시된 비밀번호, API 키, OAuth 토큰 및 다중 인증과 같은 인증 정보가 특정 사용자 집단에 노출되었습니다.

드롭박스 사인 유출

그것이 전부가 아닙니다. 드롭박스 사인을 사용하여 문서에 전자 서명을 하는 몇몇 비등록 사용자에게도 영향을 미칩니다. 이들의 이메일, 이름 및 주소가 이번 유출로 노출되었습니다.

공식 발표에 따르면, 드롭박스는 이번 사건에서 어떤 사용자의 문서나 계약이 유출되거나 노출되지 않았다고 밝혔습니다.

여전히 조심하고 민감한 정보가 유출되지 않도록 조치를 취하는 것이 현명할 것입니다.

드롭박스 사인은 모든 사용자에게 만료된 비밀번호 프롬프트를 보냈습니다. 이제 그들은 로그인하기 위해 새로운 사용자 비밀번호를 생성해야 합니다.

API 키 사용자도 마찬가지로, 제3자 앱 및 서비스와 함께 사용할 새로운 키를 받아야 합니다.

공식 성명에 따르면, 드롭박스 클라우드 계정은 드롭박스 사인과 연결되어 있더라도 이번 침해에 영향을 받지 않습니다.

그러나 드롭박스 사인 비밀번호를 다른 곳에서 사용하고 있다면, 회사는 비밀번호를 변경할 것을 권장합니다.

드롭박스는 사용자가 독립적인 사이버 보안 전문가들이 조사를 완료할 때까지 기다리라고 권고했습니다.

모든 영향을 받은 사용자는 이번 주 내에 통보를 받을 것입니다. 그동안 비밀번호와 API를 변경하고 다음 권장 단계를 기다려야 합니다.

데이터를 백업한 후 잠재적으로 노출된 계약에 필요한 변경을 하는 것이 좋습니다. 이는 귀하의 민감한 정보가 완전히 위험에 처하지 않도록 보장할 것입니다.