Dropbox, bir saldırganın Dropbox Sign (eski adıyla HelloSign) üretim ortamına yetkisiz erişim sağladığı yakın zamanda yaşanan bir “güvenlik olayını” bildiriyor. Bu erişim sırasında saldırganın Dropbox Sign müşteri bilgilerine erişimi vardı.
Dropbox Sign, müşterilerin belgeleri dijital olarak imzalamasına, düzenlemesine ve izlemesine olanak tanıyan bir platformdur. Erişilen müşteri bilgileri, genel hesap ayarlarına ve API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama gibi belirli kimlik doğrulama bilgilerine ek olarak e-posta adreslerini, kullanıcı adlarını, telefon numaralarını ve karma şifreleri içerir. Erişim, Dropbox Sign müşterileriyle sınırlıdır ve ortamlar büyük ölçüde ayrı olduğundan diğer Dropbox hizmetlerinin kullanıcılarını etkilemez.
“Bu olayın Dropbox Sign altyapısından kaynaklandığını ve diğer Dropbox ürünlerini etkilemediğini düşünüyoruz.”
Hiç Dropbox Sign hesabı oluşturmamış olsanız ve Dropbox Sign aracılığıyla bir belge almış veya imzalamamış olsanız bile, e-posta adresleriniz ve adlarınız açığa çıkar. Olayla ilgili bir hükümet (K-8) dosyasında Dropbox, müşterilerin hesap içeriklerine (yani belgeleri veya sözleşmeleri) veya ödeme bilgilerine yetkisiz erişime dair hiçbir kanıt bulamadığını söyledi.
Saldırgan, Dropbox Sign ortamı için otomatik sistem yapılandırma aracı görevi gören bir arka uç hizmet hesabının güvenliğini ihlal etti. Saldırgan, müşteri veritabanına erişim sağlamak için üretim ortamına ait hizmet hesabının ayrıcalıklarını kullandı.
Olayın sonrasını sınırlamak için Dropbox’ın güvenlik ekibi, kullanıcıların şifrelerini sıfırladı, kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardaki oturumlarını kapattı ve tüm API anahtarlarının ve OAuth belirteçlerinin rotasyonunu koordine ediyor.
Dropbox Sign’a API erişimi olan müşteriler için şirket, yeni API anahtarlarının oluşturulması gerektiğini söyledi ve ihlalle uğraşırken belirli işlevlerin kısıtlanacağı konusunda uyardı.
Dropbox, bu olayı veri koruma düzenleyicilerine ve kolluk kuvvetlerine bildirdiğini söyledi.
Öneriler
Dropbox, etkilenen şifrelerin süresini doldurdu ve daha fazla koruma sağlamak için kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardan çıkış yapmasını sağladı. Bu kullanıcılara Sign hesaplarında bir sonraki oturum açışlarında şifreyi sıfırlamaları için kendilerine bir e-posta gönderilecektir. Dropbox, kullanıcıların bunu mümkün olan en kısa sürede yapmalarını öneriyor.
API müşterisiyseniz hesabınızın güvenliğini sağlamak için, yeni bir anahtar oluşturarak, bunu uygulamanızla yapılandırarak ve mevcut anahtarınızı silerek API anahtarınızı döndürmeniz gerekir. Kolayca yeni bir anahtar oluşturabileceğinizi burada bulabilirsiniz.
API müşterileri, Dropbox Sign aracılığıyla belge alan veya imzalayanların, hiç hesap oluşturmamış olsalar bile adlarının ve e-posta adreslerinin açığa çıktığını bilmelidir. Dolayısıyla bu durum müşterilerini etkileyebilir.
Çok faktörlü kimlik doğrulama için kimlik doğrulama uygulaması kullanan müşterilerin uygulamayı sıfırlaması gerekir. Lütfen mevcut girişinizi silin ve ardından sıfırlayın. SMS kullanıyorsanız herhangi bir işlem yapmanıza gerek yoktur.
Dropbox Sign şifrenizi başka herhangi bir hizmette yeniden kullandıysanız, bu hesaplardaki şifrenizi değiştirmenizi ve mümkün olduğunda çok faktörlü kimlik doğrulamayı kullanmanızı önemle tavsiye ederiz.
Kendinizi veri ihlalinden koruma
Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
- Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak herhangi bir kişiyi doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.
- Kimlik izlemeyi ayarlayın. Kimlik izleme, kişisel bilgilerinizin yasa dışı olarak çevrimiçi olarak alınıp satıldığı tespit edilirse sizi uyarır ve daha sonra kurtarmanıza yardımcı olur.
Malwarebytes, kişisel verilerinizin ne kadarının çevrimiçi ortamda açığa çıktığını kontrol etmeniz için yeni ve ücretsiz bir araç sunuyor. E-posta adresinizi (en sık kullandığınız adresi vermeniz en iyisidir) ücretsiz Dijital Ayak İzi taramamıza gönderin; size bir rapor ve öneriler sunalım.
Yalnızca tehditleri rapor etmiyoruz; tüm dijital kimliğinizin korunmasına yardımcı oluyoruzsen
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Kimlik korumasını kullanarak sizin ve ailenizin kişisel bilgilerini koruyun