Hackerek támadták meg a DropBoxot, ügyfelek adatai kerülhettek illetéktelen kezekbe

A DropBox, amely széles körben népszerű tárhelyszolgáltatás Magyarországon is, nyilvánosságra hozott egy incidensről szóló jelentést, amely szerint hackerek jogosulatlanul hozzáfértek az ügyfelek adataihoz és hitelesítési titkaihoz. A cég szerencsére már lépett a probléma orvoslására.

A DropBox Sign, korábbi nevén HelloSign, egy elektronikus aláírási platform, amely lehetővé teszi a felhasználók számára, hogy jogilag kötelező erejű aláírással ellátott dokumentumokat küldjenek online. A vállalat április 24-én észlelte a jogosulatlan hozzáférést, és a vizsgálat nem túl biztató eredményekkel zárult.

A támadók hozzáfértek a Dropbox Sign egy automatizált rendszerkonfigurációs eszközéhez, amely a platform backend szolgáltatásainak részét képezi. Ezáltal a behatolók emelt szintű jogosultságokkal futtathattak alkalmazásokat és automatizált szolgáltatásokat, így hozzáférhettek az ügyféladatbázishoz. Az érintett adatok között szerepeltek e-mail címek, felhasználónevek, telefonszámok, hash-jelszavak, általános fiókbeállítások, valamint bizonyos hitelesítési információk, mint API-kulcsok, OAuth tokenek és többfaktoros hitelesítési adatok.

A támadás következtében azok a felhasználók is veszélybe kerültek, akik az eSignature platformot használták, de nem regisztráltak fiókot, mivel az e-mail címük és nevük is kiszivároghatott. A DropBox szerint azonban nincs arra utaló jel, hogy a támadók hozzáfértek volna az ügyfelek dokumentumaihoz vagy megállapodásaihoz, és más DropBox-szolgáltatások sem érintettek a biztonsági incidensben.

A vállalat válaszként visszaállította az összes felhasználó jelszavát, kijelentkeztetett minden DropBox Signhoz tartozó munkamenetből, és korlátozta az API-kulcsok felhasználását, amíg az ügyfelek nem változtatják meg azokat. A DropBox biztonsági tanácsot is adott az API-kulcsok cseréjéhez, és tájékoztatást nyújtott arról, hogyan lehet újra konfigurálni a többfaktoros hitelesítést. Az érintett ügyfeleket e-mailben értesítik az esetről.

A DropBox Sign felhasználóinak most különösen óvatosnak kell lenniük az adathalász kampányokkal szemben, amelyek az ellopott adatokat felhasználva próbálhatnak meg érzékeny információkhoz jutni. A cég azt javasolja, hogy ha a felhasználók jelszó-visszaállítást kérő e-mailt kapnak a DropBox Sign nevében, ne kattintsanak az e-mailben található linkekre, hanem közvetlenül a DropBox Sign weboldalán keresztül végezzék el a jelszó-visszaállítást.