Bulut depolama ve dosya paylaşım şirketi Dropbox, şifreler ve diğer kimlik doğrulama bilgileri de dahil olmak üzere hassas bilgilere yetkisiz erişimle sonuçlanan bir güvenlik ihlalini açıkladı.
Dropbox, ABD Menkul Kıymetler ve Borsa Komisyonu’na yaptığı 8-K başvurusunda, ihlalin üretim ortamını hedeflediğini ve özellikle eski adıyla HelloSign olarak bilinen ve belgeleri dijital olarak imzalamaya yönelik bir platform olan Dropbox Sign’ı etkilediğini ortaya çıkardı.
“Oyuncu, uygulamaları yürütmek ve otomatikleştirilmiş hizmetleri çalıştırmak için kullanılan, insan olmayan bir hesap türü olan Sign’ın arka ucunun parçası olan bir hizmet hesabının güvenliğini ihlal etti. Dolayısıyla bu hesap, Sign’ın üretim ortamında çeşitli eylemler gerçekleştirme ayrıcalıklarına sahipti. Tehdit aktörü daha sonra müşteri veritabanımıza erişmek için üretim ortamına olan bu erişimi kullandı.”
Erişilen bilgiler, hesap ayarları, adlar ve e-postalar dahil olmak üzere tüm Dropbox Sign kullanıcılarına aittir. Bazı kullanıcılar için telefon numaraları, karma şifreler gibi ek veriler ve API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama gibi kimlik doğrulama bilgileri de ele geçirildi.
“Teknik açıdan bakıldığında Dropbox Sign’ın altyapısı diğer Dropbox hizmetlerinden büyük ölçüde ayrı. Bununla birlikte, bu riski kapsamlı bir şekilde araştırdık ve bu olayın Dropbox Sign altyapısından kaynaklandığına ve diğer Dropbox ürünlerini etkilemediğine inanıyoruz.”
Adli soruşturmacılar görevlendirilirken ve kolluk kuvvetleri bilgilendirilirken, kişisel bilgilere erişim varsayımına dayanarak düzenleyici kurumlar bilgilendirilmektedir.
Dropbox, ihlalin etkisini azaltmak için OAuth tokenlarının rotasyonu ve Dropbox Sign’a API erişimi olan müşteriler için yeni API anahtarları oluşturulması da dahil olmak üzere adımlar başlattı. Dropbox, API anahtarları değiştirilene kadar bazı işlevlerin sınırlı kalacağını söyledi.
Dropbox’ın etkilenen kullanıcılara ulaşması ve gerekli eylemler konusunda rehberlik sağlamasıyla kullanıcı bildirimleri devam ediyor. Şirket, tüm bildirimlerin önümüzdeki hafta içinde tamamlanmasını bekliyor.
Dropbox, operasyonları veya mali durumu üzerinde önemli bir etki öngörmese de dava, müşteri davranışındaki değişiklikler ve artan düzenleyici incelemeler dahil olmak üzere potansiyel riskleri kabul ediyor.
Bu Dropbox veri ihlali olayı, 2022’de geliştiricilerini hedef alan ve şirketin GitHub hesaplarına ve hassas bilgilere yetkisiz erişimle sonuçlanan bir kimlik avı kampanyasının ardından, dosya paylaşım devi için başka bir güvenlik sorununa işaret ediyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Ekspres bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.