Dropbox взломали. Украдены данные клиентов и аутентификационные секреты

Облачное хранилище Dropbox сообщило, что злоумышленники пробрались в систему управления учетными записями Dropbox Sign eSignature и завладели ключами аутентификации, данными двухэтапной проверки, зашифрованными паролями и информацией о пользователях.

Dropbox Sign (ранее известный как HelloSign) — это сервис, позволяющий клиентам загружать, отправлять и подписывать документы онлайн, причем с юридической силой.

24 апреля 2024 года сотрудники Dropbox выявили несанкционированный доступ к системе управления учетными записями Dropbox Sign и начали расследование. Выяснилось, что злоумышленники каким-то образом получили доступ к инструменту для настройки системы Dropbox Sign, который является частью бэкенд-сервисов платформы.

Используя этот инструмент, хакеры могли запускать приложения и сервисы с расширенными правами, что дало им возможность получить доступ к базе данных пользователей.

Важно отметить, что даже пользователи, которые использовали Dropbox Sign eSignature без создания аккаунта, также пострадали, так как были раскрыты их адреса электронной почты и имена.

В Dropbox утверждают, что не нашли никаких свидетельств того, что злоумышленники получили доступ к документам, договорам или финансовой информации пользователей, а также не было обнаружено проникновения в другие сервисы компании. Отмечено, что инфраструктура Dropbox Sign в значительной степени изолирована от остальных сервисов Dropbox.

В ответ на произошедшее Dropbox сбросил пароли всех пользователей, завершил все активные сессии Dropbox Sign и ограничил использование API-ключей до тех пор, пока клиенты не заменят их. В настоящий момент компания рассылает уведомления всем пострадавшим пользователям.

Кроме того, клиентам Dropbox Sign рекомендуется проявлять бдительность в отношении возможных фишинговых атак, которые могут использовать украденные данные для получения конфиденциальной информации (например, паролей).