Dalış Özeti:
- Dropbox Sign, Çarşamba günü yaptığı açıklamada, tüm kullanıcılarının verilerini açığa çıkaran bir siber saldırıya uğradığını söyledi. Menkul Kıymetler ve Borsa Komisyonu’na başvuru. Saldırgan, elektronik imza platformunun üretim ortamına ek ayrıcalıklar sağlayan otomatik sistem yapılandırma aracına erişti.
- Şirket, bir saldırganın API anahtarları, OAuth belirteçleri, çok faktörlü kimlik doğrulama ayrıntıları, karma şifreler, e-postalar, kullanıcı adları ve telefon numaraları dahil olmak üzere bir dizi kullanıcı verisine ve kimlik doğrulama bilgisine eriştiğini söyledi. Dropbox İmzası ihlali, hiç hesap oluşturmamış ancak platform aracılığıyla bir belge alan veya imzalayan kişileri bile etkileyerek e-posta adreslerini ve adlarını açığa çıkardı.
- Dosya barındırma hizmeti sağlayıcısı, “Tehdit aktörünün, kullanıcıların hesaplarındaki sözleşmeler veya şablonlar gibi içeriklere veya ödeme bilgilerine eriştiğine dair hiçbir kanıt yok” dedi. “Ayrıca bu olayın Dropbox Sign altyapısıyla sınırlı olduğuna ve tehdit aktörünün diğer Dropbox ürünlerinin üretim ortamlarına eriştiğine dair bir kanıt bulunmadığına inanıyoruz.”
Dalış Bilgisi:
Şirket, 24 Nisan’da Dropbox Sign’a yetkisiz erişimden haberdar olduğunu ve izinsiz girişin araştırılması, kontrol altına alınması ve düzeltilmesi için üçüncü taraf adli tıp uzmanlarının yardımıyla derhal yanıt verdiğini söyledi.
Dropbox, “Oyuncu, uygulamaları yürütmek ve otomatikleştirilmiş hizmetleri çalıştırmak için kullanılan, insan olmayan bir hesap türü olan Sign’ın arka ucunun bir parçası olan bir hizmet hesabının güvenliğini ihlal etti” dedi. Blog yazısı. “Dolayısıyla bu hesap, Sign’ın üretim ortamında çeşitli eylemleri gerçekleştirme ayrıcalıklarına sahipti. Tehdit aktörü daha sonra müşteri veritabanımıza erişmek için üretim ortamına olan bu erişimi kullandı.”
Şirket, Dropbox’ın güvenlik ekibinin kullanıcıların şifrelerini sıfırladığını ve tüm API anahtarlarını ve OAuth belirteçlerini döndürmeye başladığını söyledi.
“API anahtarları ve OAuth belirteçlerinin güvenliği ihlal edildiğinden bu ihlal özellikle önemlidir.” Ray Kelly, Synopsys Yazılım Bütünlüğü Grubu üyesie-posta yoluyla söyledi.
“Çoğu zaman API anahtarları statiktir ve değişmez, böylece kuruluşlar hizmetlerine ilişkin süreçlerini otomatikleştirebilirler. Bu anahtarlar ele geçirildiğinde, kötü niyetli bir aktör, hassas olabilecek veya mağdur açısından maddi sonuçlara yol açabilecek hizmetlere erişim sağlayabilir.”
Dropbox, saldırının iş operasyonları üzerinde maddi bir etki yaratmasını beklemediğini söyledi ancak bu değerlendirmeyi saldırı hakkındaki mevcut anlayışı ve Dropbox Sign altyapısını kapsadığı varsayımı etrafında çerçeveledi.
Dropbox platformu satın aldı ve daha sonra HelloSign olarak faaliyet gösterdi. 2019 başında 230 milyon dolar. Şirket 2010 yılında kuruldu.