Poskytovatel služeb cloudového úložiště Dropbox zveřejnil, že Dropbox Sign (dříve HelloSign) byl narušen neidentifikovanými aktéry hrozeb, kteří měli přístup k e-mailům, uživatelským jménům a obecným nastavením účtů spojeným se všemi uživateli produktu digitálního podpisu.

Společnost v podání americké Komisi pro cenné papíry a burzy (SEC) uvedla, že se o „neoprávněném přístupu“ dozvěděla 24. dubna 2024. Dropbox oznámil své plány na akvizici HelloSign v lednu 2019.

„Aktér hrozby měl přístup k datům souvisejícím se všemi uživateli Dropbox Sign, jako jsou e-maily a uživatelská jména, kromě obecných nastavení účtu,“ uvedla společnost v podání formuláře 8-K.

„U podmnožin uživatelů aktér hrozby také přistupoval k telefonním číslům, hashovaným heslům a určitým ověřovacím informacím, jako jsou klíče API, tokeny OAuth a vícefaktorové ověřování.“

Ještě horší je, že vniknutí se týká také třetích stran, které obdržely nebo podepsaly dokument prostřednictvím služby Dropbox Sign, ale nikdy si samy nevytvořily účet, konkrétně odhalily svá jména a e-mailové adresy.

Dosavadní vyšetřování neodhalilo žádné důkazy o tom, že by útočníci získali přístup k obsahu uživatelských účtů, jako jsou smlouvy nebo šablony, nebo k jejich platebním údajům. Incident je také údajně omezen na infrastrukturu Dropbox Sign.

Předpokládá se, že útočníci získali přístup k automatizovanému konfiguračnímu nástroji Dropbox Sign a kompromitovali účet služby, který je součástí backendu společnosti Sign, a zneužili zvýšená oprávnění účtu pro přístup k databázi zákazníků.

Společnost však nezveřejnila, kolik zákazníků bylo hackerským útokem ovlivněno, ale uvedla, že je v procesu oslovování všech postižených uživatelů spolu s „podrobnými pokyny“ k ochraně jejich informací.

„Náš bezpečnostní tým také resetuje hesla uživatelů, odhlašuje uživatele ze všech zařízení, která mají připojená ke službě Dropbox Sign, a koordinuje rotaci všech klíčů API a tokenů OAuth,“ uvedla společnost.

Dropbox také uvedl, že v této záležitosti spolupracuje s orgány činnými v trestním řízení a regulačními orgány. Další analýza narušení zabezpečení stále probíhá.

Jedná se o druhý takový incident, který se během dvou let zaměřil na Dropbox. V listopadu 2022 společnost prozradila, že se stala obětí phishingové kampaně, která umožnila neidentifikovaným aktérům hrozeb získat neoprávněný přístup ke 130 jejím úložištím zdrojového kódu na GitHubu.

Zdroj: thehackernews.com