米国時間10月14日、GitHubはDropboxに対し、その前日から始まった不審な行動について警告を発していた。疑惑のアクセスは同日中に無効化され、Dropboxのセキュリティチームは「漏洩したすべての開発者認証情報の更新を行い、顧客データがアクセスされたり盗まれたりしていないかを調べるために、ただちに行動を起こしました」
advertisement
また、Dropboxは外部のフォレンジックチームを使って調査結果を検証し、法執行機関と関連規制当局にこの事件を報告した。
Dropboxのどのデータにアクセスされたのか?
では、攻撃者は何にアクセスしたのだろうか?Dropboxのセキュリティチームはこう述べている「これらのリポジトリには、Dropboxで使用するために若干修正したサードパーティライブラリの独自のコピー、内部のプロトタイプ、セキュリティチームが使用する一部のツールや設定ファイルが含まれていました。重要なことは、その中に当社のコアアプリケーションやインフラストラクチャのコードが含まれていないことです。それらの重要リポジトリへのアクセスはさらに制限され、厳しく管理されています」
大切なのは、攻撃者が誰のDropboxアカウント、パスワード、支払い情報にもアクセスしていないことが確認されたことだ。「調査の結果、この攻撃者がアクセスしたコードには、Dropboxの開発者が使用する認証情報の一部(主にAPIキー)が含まれていることが判明しました。このコードとその周辺のデータには、Dropboxの従業員、現在および過去の顧客、見込み客、ベンダーに関係する数千の名前と電子メールアドレスも含まれていました」と声明には書かれている。ちなみに、Dropboxの登録ユーザー数は7億人以上だ。電子メールアドレスにアクセスされた可能性のある人には、すでにDropboxから連絡が行われている。
advertisement
(forbes.com 原文)
