Çevrimiçi depolama hizmeti Dropbox Müşterileri, bulut tabanlı hizmetlerinden birinin müşteri kimlik bilgilerine ve kimlik doğrulama verilerine erişen bir tehdit aktörünün veri ihlali konusunda uyarıyor.
İhlal, yetkisiz bir kullanıcının Dropbox Sign (eski adıyla HelloSign) üretim ortamına erişim sağlamasıyla meydana geldi ve yöneticilerin 24 Nisan’da farkına vardığı bir durumdu. bir blog yazısı 1 Mayıs’ta yayınlandı. Dropbox Sign, sözleşmeleri, gizlilik anlaşmalarını, vergi formlarını ve diğer belgeleri yasal olarak bağlayıcı e-imzalar kullanarak imzalamak ve saklamak için kullanılan çevrimiçi bir hizmettir.
Özellikle, aktör, Sign’ın arka ucunun bir parçası olarak uygulamaları yürütmek ve otomatikleştirilmiş hizmetleri çalıştırmak için kullanılan bir hizmet hesabını tehlikeye atarak Dropbox Sign otomatik sistem yapılandırma aracına erişim elde etti.
Dropbox Sign ekibi blog yazısında “Bu nedenle, bu hesabın Sign’ın üretim ortamında çeşitli eylemleri gerçekleştirme ayrıcalıkları vardı” diye yazdı. “Tehdit aktörü daha sonra müşteri veritabanımıza erişmek için üretim ortamına olan bu erişimi kullandı.”
Müşteri Kimlik Bilgileri Açığa Çıktı
İhlalde açığa çıkan veriler arasında e-postalar, kullanıcı adları, telefon numaraları ve e-postalar gibi Dropbox Sign müşteri bilgileri yer alır. karma şifreler. Üstelik Dropbox Sign aracılığıyla bir belge alan veya imzalayan ancak hiçbir zaman hesap oluşturmayan herkesin e-posta adresleri ve isimleri ihlalde açığa çıktı.
Gönderiye göre tehdit aktörü, Dropbox Sign’ın API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama (MFA) ayrıntıları gibi hizmetin kendisinden de verilere erişti. Bunların tümü, üçüncü taraf ortaklar tarafından hizmete bağlanmak ve ilgili çevrimiçi hizmetlerden kusursuz entegrasyon sunmak için kullanılan verilerdir. OAuth özellikle silah haline getirilmek platformlar arası uzlaşma için tehdit aktörleri tarafından. Dolayısıyla diğer hizmetlerin kullanıcıları ihlalden dolaylı olarak etkilenebilir.
Dropbox, tehdit aktörlerinin hizmet aracılığıyla imzalanan belgeler veya sözleşmeler gibi müşteri hesaplarının herhangi bir içeriğine veya herhangi bir müşteri ödeme bilgisine eriştiğine dair hiçbir kanıt bulamadı. Üstelik Dropbox Sign’ın altyapısı diğer Dropbox hizmetlerinden büyük ölçüde ayrı olduğundan şirket, diğer hiçbir kuruluşun bu ihlalden etkilenmediğini tespit etti.
Dropbox ihlali keşfeder keşfetmez şirket, olayın temeline inmek için adli tıp araştırmacılarını görevlendirdi; bu soruşturma devam ediyor. Dropbox ayrıca olaydan etkilenen tüm kullanıcılara ulaşma sürecinde ve verilerinin nasıl daha fazla korunacağı konusunda adım adım talimatlar sağlayacak.
Azaltma Adımları
İhlalin etkilerinin ilk hafifletilmesi için Dropbox’ın güvenlik ekibi, kullanıcıların şifrelerini sıfırladı, kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardan oturumlarını kapattı ve hizmet için tüm API anahtarlarının ve OAuth belirteçlerinin rotasyonunu koordine ediyor. Şirket, kullanıcı açısından bakıldığında, tüm Dropbox Sign kullanıcılarından hizmete bir sonraki girişlerinde şifrelerini sıfırlamalarının isteneceğini söyledi.
API müşterilerinin yeni bir anahtar oluşturarak API anahtarlarını döndürmeleri gerekecektir; bunu yapmaya yönelik talimatlar çevrimiçi. Dropbox’a göre bu anahtarın, hesaplarını korumak için mevcut API anahtarının silinmesiyle birlikte bireysel uygulamalarıyla yapılandırılması gerekecek.
Gönderiye göre “Ek bir önlem olarak, rotasyonu koordine ederken API anahtarlarının belirli işlevlerini kısıtlayacağız.” Sonuç olarak, API anahtarı değiştirilene kadar yalnızca imza istekleri ve imzalama yetenekleri çalışır durumda olmaya devam edecektir; ancak o zaman kısıtlamalar kaldırılacak ve ürün normal şekilde çalışmaya devam edecektir.
MFA için Dropbox Sign ile birlikte bir kimlik doğrulama uygulaması kullanan müşteriler şunları yapmalıdır: Sıfırla Şirket, öncelikle mevcut girişlerini silerek ve ancak daha sonra sıfırlama işlemine devam ederek bunu gerçekleştirdiklerini söyledi. MFA için SMS kullananların herhangi bir işlem yapmasına gerek yoktur.
Ayrıca birisi Dropbox Sign şifresini başka bir hizmette tekrar kullandıysa Dropbox, şifrenin değiştirilmesini ve mümkün olduğunda MFA’nın kullanılmasını önerir.
Şirket, Dropbox’ın tam olarak ne olduğunu anlamak ve müşterilerini gelecekte benzer tehditlere karşı korumak için olayı “kapsamlı bir şekilde incelemeye” devam edeceğini belirterek, ihlalden etkilenen tüm müşterilere yardım etmeye istekli olduğunu da sözlerine ekledi.