Bulut depolama hizmetleri sağlayıcısı Dropbox Çarşamba günü, Dropbox Sign’ın (eski adıyla HelloSign) dijital imza ürününün tüm kullanıcılarıyla ilişkili e-postalara, kullanıcı adlarına ve genel hesap ayarlarına erişen kimliği belirsiz tehdit aktörleri tarafından ihlal edildiğini açıkladı.
Şirket, ABD Menkul Kıymetler ve Borsa Komisyonu’na (SEC) sunduğu bir dosyada, 24 Nisan 2024’te “yetkisiz erişimden” haberdar olduğunu söyledi. Dropbox, Ocak 2019’da HelloSign’ı satın alma planlarını duyurdu.
Form 8-K dosyasında “Tehdit aktörü, genel hesap ayarlarının yanı sıra e-postalar ve kullanıcı adları gibi tüm Dropbox Sign kullanıcılarıyla ilgili verilere erişti” denildi.
“Tehdit aktörü, kullanıcı alt kümeleri için telefon numaralarına, karma şifrelere ve API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama gibi belirli kimlik doğrulama bilgilerine de erişti.”
Daha da kötüsü, izinsiz giriş, Dropbox Sign aracılığıyla bir belge alan veya imzalayan, ancak kendileri bir hesap oluşturmamış, özellikle adlarını ve e-posta adreslerini açığa çıkaran üçüncü tarafları da etkiliyor.
Şu ana kadar yürütülen soruşturmada, saldırganların kullanıcıların hesaplarındaki sözleşmeler, şablonlar gibi içeriklere veya ödeme bilgilerine eriştiğine dair hiçbir kanıt ortaya çıkmadı. Olayın Dropbox Sign altyapısıyla da sınırlı olduğu söyleniyor.
Saldırganların, Dropbox Sign otomatik sistem yapılandırma aracına erişim sağladığına ve Sign’ın arka ucunun bir parçası olan bir hizmet hesabını tehlikeye atarak, müşteri veritabanına erişmek için hesabın yükseltilmiş ayrıcalıklarından yararlandığına inanılıyor.
Ancak şirket, saldırıdan kaç müşterinin etkilendiğini açıklamadı ancak etkilenen tüm kullanıcılara, bilgilerini korumak için “adım adım talimatlar” ile ulaşma sürecinde olduğunu söyledi.
“Güvenlik ekibimiz ayrıca kullanıcıların şifrelerini sıfırlıyor, kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardan çıkış yapmalarını sağlıyor ve tüm API anahtarlarının ve OAuth belirteçlerinin rotasyonunu koordine ediyor” dedi.
Dropbox ayrıca konuyla ilgili kolluk kuvvetleri ve düzenleyici otoritelerle işbirliği yaptığını da söyledi. İhlalin daha ayrıntılı analizi devam etmektedir.
Bu ihlal, iki yıl içinde Dropbox’ı hedef alan ikinci olay oldu. Kasım 2022’de şirket, kimliği belirsiz tehdit aktörlerinin GitHub’daki 130 kaynak kodu deposuna yetkisiz erişim sağlamasına olanak tanıyan bir kimlik avı kampanyasının kurbanı olduğunu açıkladı.