İhlal Bildirimi, Olay ve İhlal Müdahalesi, Güvenlik Operasyonları
Tüm Dropbox Sign Kullanıcılarının E-postaları Çalındı, Ayrıca Bazı MFA ve OAuth Tokenları, API Anahtarları
Mathew J. Schwartz (euroinfosec) •
2 Mayıs 2024
Dosya depolama ve paylaşım devi Dropbox, bilgisayar korsanlarının altyapısını ihlal ettiğini ve yasal olarak bağlayıcı elektronik imza hizmeti için kimlik doğrulama belirteçleri de dahil olmak üzere müşteri verilerinin büyük bir kısmını çaldığını söyledi.
Ayrıca bakınız: İhlal Korumasının Temellerini Korumanın Daha İyi Bir Yolu
Dropbox, ilk olarak 24 Nisan’da eski adıyla HelloSign olarak bilinen Dropbox Sign üretim ortamında bir ihlal tespit ettiğini ve yatırımcılara Çarşamba günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunduğu 8-K Formunda bilgi verdiğini söyledi.
Halka açık San Francisco merkezli şirket, bir bilgisayar korsanının tüm Dropbox Sign kullanıcılarının e-postalarını, kullanıcı adlarını, telefon numaralarını ve karma şifrelerinin yanı sıra çok faktörlü kimlik doğrulama belirteçleri, API anahtarları ve OAuth belirteçleri de dahil olmak üzere kimlik doğrulama bilgilerini çaldığını söyledi. İhlal ayrıca, Dropbox Sign aracılığıyla bir belgeyi imzalayan veya alan kişiler de dahil olmak üzere hesap sahibi olmayan kişilerin adlarını ve e-posta adreslerini de açığa çıkardı.
2023 yılında 2,5 milyar dolar gelir bildiren şirket, Dropbox Sign’ı “milyonlarca kullanıcı tarafından imzalı belgeleri yönetmek, imza istemek ve çevrimiçi olarak güvenli bir şekilde imzalamak için belgeler oluşturmak konusunda güvenilen” olarak tanımlıyor. Yasal olarak bağlayıcı e-imzalar oluşturmaya yönelik hizmet, satış anlaşmalarının kapatılmasından ipotek imzalamaya ve insan kaynaklarının işe alınmasına kadar her şey için kullanılıyor.
Şirketin ihlalle ilgili soruşturması devam ediyor – saldırının ne zaman başladığına inanıldığı henüz ayrıntılı olarak belirtilmedi – ancak araştırmacılar, bilgisayar korsanlarının dosya paylaşım hizmeti gibi diğer ürünlere bağlı sistemlere değil, yalnızca Dropbox Sign altyapısına sızdığına inanıyor.
Dropbox ayrıca Çarşamba günkü bir blog yazısında “Müşterilerin hesaplarının içeriğine (yani belgeleri veya sözleşmeleri) veya ödeme bilgilerine yetkisiz erişime dair hiçbir kanıt bulamadık” dedi.
Dropbox, saldırganın ilk önce bir hizmet hesabını tehlikeye atarak, uygulamaları ve otomatik hizmetleri çalıştırma yeteneği de dahil olmak üzere Dropbox Sign’a tam erişim ayrıcalıkları kazandığını ve “daha sonra bu erişimi üretim ortamına kullanarak müşteri veritabanımıza erişim sağladığını” söyledi.
Saldırganlar, çalınan anahtarları ve belirteçleri, tedarik zinciri saldırısının bir parçası olarak, kullanıcının kimliği ve izinleriyle Dropbox Sign’a erişmek veya oturum açmak ve kendi adlarına yasal olarak bağlayıcı belgeleri imzalamak veya gizli belge bilgilerini çalıp fidye için tutmak için potansiyel olarak kullanabilir. Dropbox Sign web sitesi, “Dropbox Sign’dan gelen e-İmzaların, 2000 tarihli ESIGN Yasası uyarınca yasal olarak bağlayıcı olduğunu, kalem ve kağıt alternatifleriyle aynı yasal durumu sağladığını” ve “her bir Dropbox Sign’a düzenlenemeyen bir denetim izinin eklendiğini” belirtiyor imza talebi, her eylemin tam olarak takip edilmesini ve zaman damgalı olmasını sağlar.”
İhlalin bir sonucu olarak şirket, tüm Dropbox Sign kullanıcılarının şifrelerini sıfırladı ve bir MFA belirteci aracılığıyla hizmete bağlı kalan tüm cihazlardan çıkış yaptı. “Çok faktörlü kimlik doğrulama için kimlik doğrulama uygulaması kullanan müşterilerin uygulamayı sıfırlaması gerekir” dedi. “Lütfen mevcut girişinizi silin ve sıfırlayın. SMS kullanıyorsanız herhangi bir işlem yapmanıza gerek yoktur.”
Dropbox, “adım adım talimatlar” sunmak için API anahtarlarını ve OAuth belirteçlerini değiştirmesi gereken kuruluşlarla doğrudan iletişime geçmeye başladı ve bu bildirim sürecini 8 Mayıs’a kadar tamamlamayı beklediğini söyledi. Şirket, kullanıcılara şunu söyleyerek API işlevselliğini kısıtladı: API anahtarlarını değiştirene kadar “iş sürekliliğiniz için yalnızca imza istekleri ve imzalama yetenekleri çalışmaya devam edecek” ve bu noktada tam işlevsellik geri yüklenecektir.
Şirket, Dropbox Sign şifresini başka bir yerde yeniden kullanan tüm kullanıcıları hemen yeni, benzersiz bir şifreyle değiştirmeleri konusunda uyardı ve ayrıca bunu sunan her hesap için MFA’yı etkinleştirmelerini önerdi.
Bu ihlalin müşterilerin hizmet algısı üzerinde ne gibi bir etkisi olabileceği belirsizliğini koruyor. Hizmetin web sitesinde belirtildiği gibi: “Dropbox Sign’da güvenlik bizim için son derece önemlidir ve kullanıcıların hassas belgelerin hem güven hem de yasallık taşıdığından emin olmalarını istiyoruz.”
Bu Dropbox’ın ilk veri ihlali değil. Şirket, 2022’nin sonlarında çalışanlarının, bilgisayar korsanlarına dahili kod depolarına ve bazı kişisel kimlik bilgilerine erişim sağlayan iyi hazırlanmış bir kimlik avı kampanyasına kandığını söyledi. Şirket, ihlal edilen GitHub kod depolarının o dönemde MFA kullanılarak korunmadığını ve bunu düzeltmeye söz verdiğini söyledi (bkz.: Dropbox Verileri Başka Bir Çok Faktörlü Başarısızlığı İhlal Ediyor).
Şirket ayrıca 2016’da büyük bir ihlali açıklayarak, 2012’de bir saldırganın bir dizi müşteri kimlik bilgisini çaldığına inandığını ve 2012’den bu yana şifresini değiştirmeyen tüm kullanıcıları bunu hemen yapması konusunda uyardığını açıkladı. Daha sonra güvenlik araştırmacıları, potansiyel olarak bu ihlal nedeniyle, e-posta adresleri ve karma şifreler de dahil olmak üzere 69 milyon Drobox kullanıcı hesabının dolaşımda olduğunu bildirdi (bkz.: Dropbox’tan Büyük, Kötü, Gecikmiş İhlal Bildirimi).