Telefon komórkowy z logotypem Dropbox na wyświetlaczu, w tle monitor komputerowy z rozmytym tekstem "Focus on the work that matters".
Tech

Cyberatak na usługę DropBox Sign. Uzyskano dostęp do bazy użytkowników

2 minuty czytania
Komentarze

Firma Dropbox zajmująca się przechowywaniem danych w chmurze poinformowała, że hakerzy włamali się do systemów platformy Dropbox Sign (elektroniczne podpisywanie dokumentów, wcześniej znane jako HelloSign) i uzyskali dostęp do poufnych danych klientów. Dropbox wykrył nieautoryzowany dostęp do systemów usługi Sign pod koniec kwietnia 2024 roku.

Strona reklamowa Dropbox Sign zachęcająca do elektronicznego podpisywania dokumentów, z widokiem interfejsu użytkownika prezentującego listę dokumentów.
Fot. Dropbox Sign / zrzut ekranu

Co to jest Dropbox Sign i co skradziono podczas ataku?

Dropbox Sign to usługa umożliwiająca wysyłanie dokumentów online w celu uzyskania prawnie wiążących podpisów. W wyniku ataku na tę usługę hakerzy uzyskali dostęp do danych klientów, takich jak adresy e-mail, nazwy użytkowników, numery telefonów i hasła w postaci zaszyfrowanej (hashed passwords). Dodatkowo wykradziono ustawienia kont użytkowników oraz dane uwierzytelniające, takie jak klucze API, tokeny OAuth i klucze wieloskładnikowego uwierzytelnienia (MFA). W przypadku użytkowników, którzy nie zarejestrowali konta, wykradziono również adresy e-mail i nazwiska.

Jest szczęście w nieszczęściu. Firma Dropbox zapewnia, że nie ma dowodów na to, iż hakerzy uzyskali dostęp do dokumentów lub umów klientów. Atak nie dotyczył również innych usług Dropbox.

Podjęte przez Dropbox działania

Dropbox zresetował wszystkim użytkownikom hasła, wylogował wszystkie sesje w Dropbox Sign i ograniczył możliwość korzystania z kluczy API do momentu ich rotacji przez użytkownika. Firma udostępniła instrukcje dotyczące rotacji kluczy API.

Osoba podpisuje dokument na ekranie smartfona za pomocą funkcji rysowania.
Fot. RecCameraStock / Shutterstock

Użytkownicy korzystający z uwierzytelniania wieloskładnikowego (MFA) powinni usunąć konfigurację z aplikacji uwierzytelniającej i ponownie ją skonfigurować z nowym kluczem MFA pobranym z witryny. Wszystkie poszkodowane osoby zostały powiadomione mailowo o sytuacji.

Na co powinni uważać użytkownicy Dropbox Sign?

W konsekwencji wykrytego ataku trzeba zwrócić uwagę na możliwe konsekwencje. Istnieje ryzyko ataków phishingowych wykorzystujących wykradzione dane do wyłudzenia poufnych informacji.

Źródło: Dropbox, Bleeping Computer, CyberNews. Zdjęcie otwierające: Postmodern Studio / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Motyw