Użytkownicy Znak Dropboxa – do niedawna znane jako HelloSign – usługa podpisywania dokumentów została powiadomiona o: naruszenie danych wpływając na ich informacje po tym, jak nieujawniony ugrupowanie zagrażające włamał się do jego systemów.
Dropbox po raz pierwszy dowiedział się, że 24 kwietnia ktoś uzyskał nieautoryzowany dostęp do środowiska produkcyjnego Dropbox Sign, co sugeruje, że mógł mieć dostęp wcześniej. Dalsze dochodzenie wykazało, że uzyskano dostęp do danych klientów, w tym adresów e-mail, nazw użytkowników, numerów telefonów i zaszyfrowanych haseł, a także niektórych informacji uwierzytelniających, w tym klucze interfejsu programowania aplikacji (API)., Tokeny OAuth I uwierzytelnianie wieloskładnikowe (MSZ).
Ponadto adresy e-mail i nazwiska wielu osób, które otrzymały lub podpisały dokument za pośrednictwem Dropbox Sign, ale nigdy nie utworzyły konta, zostały ujawnione. Jednak w przypadku osób, które utworzyły konto, ale nie ustawiły hasła – na przykład zarejestrowały się za pośrednictwem konta Google – żadne hasło nie było przechowywane ani ujawniane.
Dropbox stwierdził, że nie znalazł dowodów na dostęp do zawartości kont klientów ani informacji o płatnościach ani nie stwierdził, że uzyskano dostęp do jakichkolwiek innych jego produktów. Znak Dropbox, który został nabyty w 2019 rokunadal działa w oparciu o oddzielną infrastrukturę.
Firma zwraca się obecnie do użytkowników, których to dotyczy, z dalszymi informacjami i instrukcjami, a jej zespół ds. bezpieczeństwa przeprowadził wymuszone resetowanie hasła i wylogował użytkowników ze wszystkich urządzeń, które łączyli z Dropbox Sign. Obecnie trwają prace nad rotacją wszystkich kluczy API i tokenów OAuth.
„Kiedy dowiedzieliśmy się o tym problemie, wraz z czołowymi w branży śledczymi wszczęliśmy dochodzenie, aby zrozumieć, co się stało i zmniejszyć ryzyko dla naszych użytkowników” – stwierdziła organizacja. w poście na blogu załączone do zawiadomienia Komisji Papierów Wartościowych i Giełd (SEC) o ujawnieniu informacji.
„W oparciu o nasze dochodzenie osoba trzecia uzyskała dostęp do narzędzia do automatycznej konfiguracji systemu Dropbox Sign” – kontynuował. „Aktor włamał się na konto usługi będące częścią zaplecza Sign, które jest rodzajem konta innego niż człowiek, używanego do uruchamiania aplikacji i automatycznych usług. W związku z tym to konto miało uprawnienia do podejmowania różnych działań w środowisku produkcyjnym Sign. Następnie podmiot zagrażający wykorzystał ten dostęp do środowiska produkcyjnego, aby uzyskać dostęp do naszej bazy danych klientów.
„W Dropbox naszą wartością numer jeden jest bycie godnym zaufania. Trzymamy się wysokich standardów, chroniąc naszych klientów i ich treści. Nie spełniliśmy tego standardu i jest nam bardzo przykro z powodu wpływu, jaki wywarło to na naszych klientów”.
Dropbox rozpoczyna obecnie „szeroko zakrojony przegląd”, aby lepiej zrozumieć, co dokładnie się wydarzyło i jak oraz jak lepiej chronić się w przyszłości.
Uczciwość360 szef reakcji na incydenty, Patrick Wragg, powiedział, że użytkownicy Dropbox Sign mogą myśleć, że szczęśliwie im się udało, ponieważ hasła, do których uzyskali dostęp, zostały zaszyfrowane, ale biorąc pod uwagę naruszenie kluczy API i innych danych uwierzytelniających, nadal istniały powody do obaw.
„Weźmy na przykład klucze API i tokeny OAuth” – powiedział. „Są one prawdopodobnie gorsze niż hasło, ponieważ umożliwiają programowalny, skryptowy dostęp do hasła właściciela Dropbox instancja. W większości przypadków klucze API i tokeny OAuth są tworzone pod uprzywilejowanym pretekstem, ponieważ są używane do programowalnych celów skryptowych.
„Dlatego osoba zagrażająca może po prostu użyć kluczy/tokenów, aby uzyskać dostęp do Dropbox konto bez nazwy użytkownika, hasła, a nawet MFA.”
Socura Dyrektor generalny Andy Kays powiedział: „To wygląda na klasyczny przypadek włamania poprzez przejęcie. Kiedy duża firma kupuje mniejszą, może to spowodować poważne ryzyko bezpieczeństwa. Najczęstsze scenariusze są takie, że przejmowana firma ma luki w zabezpieczeniach, ograniczone możliwości bezpieczeństwa lub występują problemy ze zgodnością w związku z integracją produktów, technologii, usług i zespołów. Fakt, że naruszono jedynie produkt Dropbox Sign – a nie szerszą działalność – sugeruje, że luka w zabezpieczeniach albo istniała w produkcie HelloSign w momencie zakupu, albo rozwinęła się z biegiem czasu, gdy firma zmieniała go i rebrandowała.
„Przeciwnicy mający dostęp do poufnych dokumentów i usługi podpisu stwarzają ogromne możliwości nadużyć, kradzieży tożsamości, oszustw i naruszenia bezpieczeństwa poczty biznesowej” – powiedział. „Użytkownicy Dropbox muszą zachowywać się tak, jakby atakujący miał ich podpis i możliwość podpisywania dokumentów prawnych w ich imieniu. Powinni natychmiast zmienić swoje hasła i włączyć usługę MFA.”