ドロップボックスは火曜日、従業員のアカウントが不正アクセスされ、先月大量のスパムメールが同クラウドストレージサービスのユーザーを苛立たせたと発表した。
Dropboxのエンジニアであるアディティア・アガルワル氏は同社のブログで、盗まれたパスワードが従業員のアカウントへのアクセスに使用され、そのアカウントには「ユーザーのメールアドレスが記載されたプロジェクト文書」が含まれていたと書いている。
「この不正アクセスがスパムにつながったと考えています」とアガーワル氏は述べた。「この件について深くお詫び申し上げます。今後、このような事態が再発しないよう、追加の対策を講じました。」
同社はまた、他のウェブサイトから盗まれたユーザー名とパスワードが「少数のDropboxアカウント」へのアクセスに使用されていたことも発見したとアガーワル氏は述べている。ハッカーは、他のウェブサービスで漏洩したユーザー名とパスワードの組み合わせを、人々が同じ組み合わせを使用することを期待して試すのが一般的であり、これはよくあるセキュリティ問題である。
ドイツ語、英語、オランダ語で書かれたこのスパムメールは、ギャンブルウェブサイトの広告を掲載しており、ヨーロッパのユーザーのみに影響を与えているようでした。多くのユーザーがDropboxのフォーラムに、Dropbox専用のメールアドレスを使用していたと投稿しており、同社がハッキングされたのではないかとの疑念が浮上しました。
ドロップボックスは調査のために外部のセキュリティチームを投入したが、7月21日時点では社内システムや他の侵害されたアカウントへの侵入は見つからなかったと主張した。
Dropboxは、この情報漏洩を受けて、数週間以内に、一時的なコードをユーザーの携帯電話に送信するシステムなど、2要素認証を導入する予定だと発表した。
アガーワル氏によると、計画されているその他のアップグレードには、ユーザーアカウントのアクティビティログを表示する新しいページや、「不審なアクティビティを特定するのに役立つ自動化メカニズム」などが含まれる。また、長期間パスワードを変更していない場合は、パスワードの変更を促すメッセージが表示される場合もある。
