A DropBox felhőalapú tárolási szolgáltató cég szerint hackerek behatoltak a DropBox Sign eSignature platform termelési rendszereibe és hozzáférést szereztek a hitelesítési tokenekhez, MFA kulcsokhoz, kódolt jelszavakhoz és ügyféladatokhoz.
A DropBox Sign egy olyan eSignature platform, amely lehetővé teszi az ügyfelek számára, hogy online küldjenek dokumentumokat, amelyeket elektronikus aláírással láthatnak el.
A vállalat közlése szerint április 24-én észlelték a DropBox Sign termelési rendszereihez való jogosulatlan hozzáférést, és vizsgálatot indítottak. A nyomozás megállapította, hogy a támadók hozzáférést szereztek a Dropbox Sign automatizált rendszerkonfigurációs eszközéhez, amely a platform backend szolgáltatásainak része. Ez a konfigurációs eszköz lehetővé tette, hogy emelt jogosultságokkal futtassanak alkalmazásokat és automatizált szolgáltatásokat, így hozzáférhettek az ügyféladatbázisokhoz.
A további vizsgálat során kiderült, hogy olyan adatokhoz férhettek hozzá, mint e-mail címek, felhasználónevek, telefonszámok, hashelt jelszavak, API-kulcsok és OAuth tokenek. Azoknak a felhasználóknak, akik használták az eSignature platformot, de nem regisztráltak fiókot, az e-mail címük és nevük is kiszivárgott.
A vállalat szerint nem találtak bizonyítékot arra, hogy a fenyegető szereplők hozzáférést szereztek volna az ügyfelek dokumentumaihoz, illetve nem fértek hozzá más DropBox szolgáltatások platformjaihoz sem.
A DropBox visszaállította az összes felhasználó jelszavát, kijelentkezett a DropBox Sign összes munkamenetéből, és korlátozta az API kulcsok felhasználását, amíg az ügyfél le nem cseréli azokat.
A vállalat a biztonsági tanácsadásban további információkat adott arról, hogyan lehet az API kulcsokat cserélni.
Azoknak, akik használják az MFA-t, törölniük kell a konfigurációt a hitelesítők alkalmazásaiból, és újra kell konfigurálniuk azt egy új, a weboldalról lehívott MFA kulccsal.
A DropBox e-mailben értesítik az összes ügyfelet, akiket érintett az incidens.
Ha olyan e-mailt kap a DropBox signtól, amelyben a jelszó visszaállítására kérik, ne kövesse az e-mailben található linkeket. Ehelyett látogasson el közvetlenül a DropBox Sign oldalára, és állítsa vissza jelszavát az oldalról.