Firma DropBox, dostawca usług przechowywania w chmurze, poinformowała o włamaniu do systemów produkcyjnych swojej platformy Dropbox Sign eSignature, służącej do elektronicznego podpisywania dokumentów. Napastnicy zdobyli dostęp do tokenów uwierzytelniających, kluczy MFA, zahaszowanych haseł oraz informacji o klientach.
Zarządzanie platformą Dropbox Sign (wcześniej znane jako HelloSign) umożliwia klientom wysyłanie dokumentów online, aby uzyskać prawnie wiążące podpisy. Firma wykryła nieautoryzowany dostęp do swoich systemów produkcyjnych 24 kwietnia i natychmiast rozpoczęła śledztwo.
Wykazało ono, iż cyberprzestępcy uzyskali dostęp do narzędzia konfiguracyjnego systemu Dropbox Sign, które jest częścią zaplecza platformy. Narzędzie to umożliwiło atakującemu uruchamianie aplikacji i usług z podwyższonymi uprawnieniami, co pozwoliło na dostęp do bazy danych klientów.
Hakerzy wykradli z Dropbox klucze API, tokeny OAuth i MFA
Dane, do których dostęp uzyskał atakujący, obejmują informacje o klientach, takie jak adresy e-mail, nazwy użytkowników, numery telefonów oraz zahashowane hasła, a także ogólne ustawienia kont i niektóre informacje uwierzytelniające, takie jak klucze API, tokeny OAuth i MFA.
DropBox podjął kroki mające na celu zabezpieczenie platformy, w tym reset wszystkich haseł użytkowników, wylogowanie wszystkich sesji i ograniczenie sposobu wykorzystania kluczy API do czasu ich zmiany przez klientów. Użytkownicy korzystający z wieloskładnikowego uwierzytelnienia powinni usunąć konfigurację z aplikacji uwierzytelniających i wykonać ją ponownie dzięki nowego klucza MFA.
Firma w tej chwili wysyła e-maile do wszystkich klientów, którzy mogli być objęci incydentem. Powinni być oni również czujni w obliczu potencjalnych kampanii phishingowych wykorzystujących wykradzione dane. W przypadku otrzymania e-maila z prośbą o resetowanie hasła nie powinni klikać w żadne linki zawarte w wiadomości, ale odwiedzić bezpośrednio stronę i zresetować hasło.
