Dropbox kibertámadás áldozata lett

A Dropbox vállalat bejelentette, hogy rendszereik ellen súlyos kibertámadás történt, melynek során illetéktelen személyek férhettek hozzá az ügyfelek személyes adataihoz. A cég vezetősége április 24-én értesült az incidensről, és azonnal életbe léptette a szükséges protokollokat.

A támadás részleteit egy szabályozói bejelentésben tették közzé, amely szerint a Dropbox Sign szolgáltatását érintette az incidens. A támadók hozzáférhettek a Dropbox Sign összes felhasználójának adataihoz, beleértve az e-mail címeket, felhasználóneveket és az általános fiókbeállításokat.

Néhány felhasználó esetében a támadók még további információkhoz is hozzájuthattak, mint például telefonszámok, titkosított jelszavak és különböző hitelesítési adatok, többek között API-kulcsok, OAuth-tokenek és többfaktoros hitelesítési információk.

A támadás ellenére a Dropbox kijelentette, hogy nem találtak bizonyítékot arra, hogy a támadók hozzáfértek volna a felhasználók fiókjainak tartalmához, mint például szerződésekhez, sablonokhoz vagy fizetési adatokhoz. Ez különösen fontos, mivel a Dropbox Sign alkalmazást kereskedelmi titkokat tartalmazó szerződések kezelésére is használják.

A cég szerint a támadás nem érintette a többi Dropbox-termék működését, mivel a Dropbox Sign infrastruktúrája nagy mértékben elkülönül a többi szolgáltatástól.

A vizsgálat során a vállalat arra a következtetésre jutott, hogy egy harmadik fél hozzáférést szerzett az alkalmazás automatizált rendszerkonfigurációs eszközéhez, ami által sikerült bejutniuk a rendszerbe.