Feltörték a DropBox Signt

A DropBox felhőalapú tárolási szolgáltató cég szerint hackerek behatoltak a DropBox Sign eSignature platform termelési rendszereibe és hozzáférést szereztek a hitelesítési tokenekhez, MFA kulcsokhoz, kódolt jelszavakhoz és ügyféladatokhoz.

A DropBox Sign egy olyan eSignature platform, amely lehetővé teszi az ügyfelek számára, hogy online küldjenek dokumentumokat, amelyeket elektronikus aláírással láthatnak el.

A vállalat közlése szerint április 24-én észlelték a DropBox Sign termelési rendszereihez való jogosulatlan hozzáférést, és vizsgálatot indítottak. A nyomozás megállapította, hogy a támadók hozzáférést szereztek a Dropbox Sign automatizált rendszerkonfigurációs eszközéhez, amely a platform backend szolgáltatásainak része. Ez a konfigurációs eszköz lehetővé tette, hogy emelt jogosultságokkal futtassanak alkalmazásokat és automatizált szolgáltatásokat, így hozzáférhettek az ügyféladatbázisokhoz.

A további vizsgálat során kiderült, hogy olyan adatokhoz férhettek hozzá, mint e-mail címek, felhasználónevek, telefonszámok, hashelt jelszavak, API-kulcsok és OAuth tokenek. Azoknak a felhasználóknak, akik használták az eSignature platformot, de nem regisztráltak fiókot, az e-mail címük és nevük is kiszivárgott.

A vállalat szerint nem találtak bizonyítékot arra, hogy a fenyegető szereplők hozzáférést szereztek volna az ügyfelek dokumentumaihoz, illetve nem fértek hozzá más DropBox szolgáltatások platformjaihoz sem.

A DropBox visszaállította az összes felhasználó jelszavát, kijelentkezett a DropBox Sign összes munkamenetéből, és korlátozta az API kulcsok felhasználását, amíg az ügyfél le nem cseréli azokat.

A vállalat a biztonsági tanácsadásban további információkat adott arról, hogyan lehet az API kulcsokat cserélni.

Azoknak, akik használják az MFA-t, törölniük kell a konfigurációt a hitelesítők alkalmazásaiból, és újra kell konfigurálniuk azt egy új, a weboldalról lehívott MFA kulccsal.

A DropBox e-mailben értesítik az összes ügyfelet, akiket érintett az incidens.

Ha olyan e-mailt kap a DropBox signtól, amelyben a jelszó visszaállítására kérik, ne kövesse az e-mailben található linkeket. Ehelyett látogasson el közvetlenül a DropBox Sign oldalára, és állítsa vissza jelszavát az oldalról.

(bleepingcomputer.com)