Dosya barındırma hizmeti Dropbox, saldırganların Dropbox Sign üretim ortamını ihlal ettiğini ve müşterinin kişisel ve kimlik doğrulama bilgilerine eriştiğini doğruladı.
“Teknik açıdan bakıldığında Dropbox Sign’ın altyapısı diğer Dropbox hizmetlerinden büyük ölçüde ayrı. Bununla birlikte, bu riski kapsamlı bir şekilde araştırdık ve bu olayın Dropbox Sign altyapısından izole edildiğine ve diğer Dropbox ürünlerini etkilemediğine inanıyoruz.” Şirket Çarşamba günü yaptığı paylaşımda.
Dropbox Sign nasıl ihlal edildi?
Dropbox Sign (eski adıyla HelloSign), kullanıcıların belgeleri çevrimiçi olarak imzalamasına olanak tanıyan bir platformdur.
Şirket, “24 Nisan’da Dropbox Sign (eski adıyla HelloSign) üretim ortamına yetkisiz erişimin farkına vardık” dedi.
“Araştırmamıza göre üçüncü bir taraf, Dropbox Sign otomatik sistem yapılandırma aracına erişim sağladı. Aktör, uygulamaları yürütmek ve otomatikleştirilmiş hizmetleri çalıştırmak için kullanılan, insan olmayan bir hesap türü olan Sign’ın arka ucunun parçası olan bir hizmet hesabının güvenliğini ihlal etti. Dolayısıyla bu hesap, Sign’ın üretim ortamında çeşitli eylemler gerçekleştirme ayrıcalıklarına sahipti.”
Hangi bilgilerin güvenliği ihlal edildi?
Saldırganlar, müşteri veritabanına erişmek için Dropbox Sign üretim ortamına kazandıkları erişimden yararlandı. Daha spesifik olarak şunlara eriştiler:
- Dropbox Sign müşteri ve hesap bilgileri: e-posta adresleri, kullanıcı adları, telefon numaraları ve karma şifreler ve genel hesap ayarları
- Kimlik doğrulama bilgileri: API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama
Dropbox Sign aracılığıyla bir belge alan veya imzalayan (ancak aslında bir hesabı olmayan) kullanıcıların e-posta adresleri ve adları da açığa çıktı. Tek oturum açma yoluyla kaydolan Dropbox Sign müşterilerinin şifreleri açığa çıkmadı.
Dropbox, “Kullanıcı hesaplarının içeriğine (yani belgeleri veya sözleşmeleri) yetkisiz erişime dair hiçbir kanıt bulamadık” diyor ancak soruşturma devam ediyor ve bu durum değişebilir.
Etkilenen müşteriler için tavsiyeler
Dropbox, etkilenen müşterilere bildirimde bulunuyor ve onlara şifrelerini sıfırlamalarını, API anahtarlarını döndürmelerini, Dropbox Sign için kullandıkları şifrenin aynısını tekrar kullanmaları durumunda diğer hesaplardaki şifrelerini değiştirmelerini ve kimlik doğrulayıcı uygulama girişlerini sıfırlamalarını tavsiye ediyor. (“SMS kullanıyorsanız herhangi bir işlem yapmanıza gerek yoktur.”)
Dropbox, açığa çıkan şifrelerin süresini doldurdu ve kullanıcıların Dropbox Sign’a bağlanmak için kullandıkları cihazlardan çıkış yaptı, müşteriler anahtarları değiştirene kadar API anahtarlarının belirli işlevlerini kısıtladı ve “bunun nasıl olduğunu daha iyi anlamak ve bu tür saldırılara karşı koruma sağlamak için” bu olayı inceliyor. Gelecekteki tehdit.”
Olayla ilgili kolluk kuvvetleri ve düzenleyici makamlar (SEC dahil) bilgilendirildi.