Облачное хранилище Dropbox сообщило, что злоумышленники пробрались в систему управления учетными записями Dropbox Sign eSignature и завладели ключами аутентификации, данными двухэтапной проверки, зашифрованными паролями и информацией о пользователях.
Dropbox Sign (ранее известный как HelloSign) — это сервис, позволяющий клиентам загружать, отправлять и подписывать документы онлайн, причем с юридической силой.
24 апреля 2024 года сотрудники Dropbox выявили несанкционированный доступ к системе управления учетными записями Dropbox Sign и начали расследование. Выяснилось, что злоумышленники каким-то образом получили доступ к инструменту для настройки системы Dropbox Sign, который является частью бэкенд-сервисов платформы.
Используя этот инструмент, хакеры могли запускать приложения и сервисы с расширенными правами, что дало им возможность получить доступ к базе данных пользователей.
Dropbox Sign (ранее известный как HelloSign) — это сервис, позволяющий клиентам загружать, отправлять и подписывать документы онлайн, причем с юридической силой.
24 апреля 2024 года сотрудники Dropbox выявили несанкционированный доступ к системе управления учетными записями Dropbox Sign и начали расследование. Выяснилось, что злоумышленники каким-то образом получили доступ к инструменту для настройки системы Dropbox Sign, который является частью бэкенд-сервисов платформы.
Используя этот инструмент, хакеры могли запускать приложения и сервисы с расширенными правами, что дало им возможность получить доступ к базе данных пользователей.
«В ходе дальнейшего расследования мы обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (такие как ключи API, токены OAuth и МФА)», — сообщают в Dropbox.
Важно отметить, что даже пользователи, которые использовали Dropbox Sign eSignature без создания аккаунта, также пострадали, так как были раскрыты их адреса электронной почты и имена.
В Dropbox утверждают, что не нашли никаких свидетельств того, что злоумышленники получили доступ к документам, договорам или финансовой информации пользователей, а также не было обнаружено проникновения в другие сервисы компании. Отмечено, что инфраструктура Dropbox Sign в значительной степени изолирована от остальных сервисов Dropbox.
В ответ на произошедшее Dropbox сбросил пароли всех пользователей, завершил все активные сессии Dropbox Sign и ограничил использование API-ключей до тех пор, пока клиенты не заменят их. В настоящий момент компания рассылает уведомления всем пострадавшим пользователям.
Кроме того, клиентам Dropbox Sign рекомендуется проявлять бдительность в отношении возможных фишинговых атак, которые могут использовать украденные данные для получения конфиденциальной информации (например, паролей).
В Dropbox утверждают, что не нашли никаких свидетельств того, что злоумышленники получили доступ к документам, договорам или финансовой информации пользователей, а также не было обнаружено проникновения в другие сервисы компании. Отмечено, что инфраструктура Dropbox Sign в значительной степени изолирована от остальных сервисов Dropbox.
В ответ на произошедшее Dropbox сбросил пароли всех пользователей, завершил все активные сессии Dropbox Sign и ограничил использование API-ключей до тех пор, пока клиенты не заменят их. В настоящий момент компания рассылает уведомления всем пострадавшим пользователям.
Кроме того, клиентам Dropbox Sign рекомендуется проявлять бдительность в отношении возможных фишинговых атак, которые могут использовать украденные данные для получения конфиденциальной информации (например, паролей).