Yakın zamana kadar HelloSign olarak bilinen Dropbox Sign’ın kullanıcıları, belge imzalama hizmetinin kullanıcıları, adı açıklanmayan bir tehdit aktörünün sistemlerini hacklemesinin ardından bilgilerini etkileyen bir veri ihlali konusunda uyarıldı.
Dropbox, birisinin Dropbox Sign üretim ortamına yetkisiz erişime sahip olduğunu ilk olarak 24 Nisan’da fark etti; bu da bu kişinin bundan önce erişime sahip olabileceğini düşündürüyor. Daha ayrıntılı bir araştırmada, e-posta adresleri, kullanıcı adları, telefon numaraları ve karma şifreler dahil olmak üzere müşteri verilerinin yanı sıra uygulama programlama arayüzü (API) anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama (MFA) gibi bazı kimlik doğrulama bilgilerine de erişildiği tespit edildi.
Ayrıca Dropbox Sign aracılığıyla bir belge alan veya imzalayan ancak hiçbir zaman hesap oluşturmamış bazı kişilerin e-posta adresleri ve adları açığa çıktı. Ancak, hesap oluşturup şifre belirlememiş olanların (örneğin, Google hesabı aracılığıyla kaydolmuş olanlar) hiçbir şifresi saklanmadı veya ifşa edilmedi.
Dropbox, müşteri hesaplarının içeriğine veya ödeme bilgilerine erişime dair herhangi bir kanıt bulamadığını ve diğer hiçbir ürününe de erişildiğini tespit etmediğini söyledi. 2019 yılında satın alınan Dropbox Sign, halen ayrı bir altyapı üzerinde çalışıyor.
Şirket şu anda etkilenen kullanıcılara daha fazla bilgi ve talimat veriyor ve güvenlik ekibi zorunlu bir şifre sıfırlama işlemi gerçekleştirdi ve kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardan çıkış yapmasını sağladı. Şu anda tüm API anahtarlarını ve OAuth jetonlarını döndürmek için çalışıyor.
Kuruluş, Menkul Kıymetler ve Borsa Komisyonu (SEC) açıklama bildirimine eklenen bir blog yazısında, “Bu sorunun farkına vardığımızda, ne olduğunu anlamak ve kullanıcılarımıza yönelik riskleri azaltmak için sektör lideri adli tıp araştırmacılarıyla bir soruşturma başlattık” dedi. .
“Araştırmamıza göre üçüncü bir taraf, Dropbox Sign otomatik sistem yapılandırma aracına erişim sağladı” diye devam etti. “Aktör, uygulamaları yürütmek ve otomatikleştirilmiş hizmetleri çalıştırmak için kullanılan, insan olmayan bir hesap türü olan Sign’ın arka ucunun parçası olan bir hizmet hesabının güvenliğini ihlal etti. Dolayısıyla bu hesap, Sign’ın üretim ortamında çeşitli eylemler gerçekleştirme ayrıcalıklarına sahipti. Tehdit aktörü daha sonra müşteri veritabanımıza erişmek için üretim ortamına olan bu erişimi kullandı.
“Dropbox’ta bir numaralı değerimiz güvene layık olmaktır. Müşterilerimizi ve içeriklerini korurken kendimizi yüksek standartlarda tutuyoruz. Burada bu standarda ulaşamadık ve bunun müşterilerimizde yarattığı etkiden dolayı çok üzgünüz.”
Dropbox şimdi tam olarak ne olduğunu, nasıl olduğunu ve gelecekte kendisini nasıl daha iyi koruyacağını daha iyi anlamak için “kapsamlı bir incelemeye” başlıyor.
Integrity360 olay müdahale sorumlusu Patrick Wragg, Dropbox Sign kullanıcılarının erişilen şifrelerin hashlenmesi nedeniyle şanslı bir kaçış yaşadıklarını düşünebileceklerini, ancak API anahtarlarının ve diğer kimlik doğrulama verilerinin ele geçirilmesi göz önüne alındığında hala endişe için nedenlerin bulunduğunu söyledi.
“Örneğin API anahtarlarını ve OAuth belirteçlerini ele alalım” dedi. “Bunlar tartışmasız bir paroladan daha kötü, çünkü sahibinin bilgilerine programlanabilir, komut dosyasıyla yazılabilir erişime izin veriyorlar.” Dropbox misal. Çoğu durumda, API anahtarları ve OAuth belirteçleri, programlanabilir, komut dosyası oluşturma amacıyla kullanıldıkları için ayrıcalıklı bir iddia altında oluşturulur.
“Dolayısıyla bir tehdit aktörü, anahtarları/belirteçleri kullanarak erişim sağlayabilir. Dropbox kullanıcı adı, şifresi ve hatta MFA’sı olmayan bir hesap.”
Socura CEO’su Andy Kays şunları söyledi: “Bu, satın alma yoluyla gerçekleşen klasik bir ihlal vakasına benziyor. Büyük bir şirket daha küçük bir şirket satın aldığında büyük güvenlik riskleri ortaya çıkabilir. En yaygın senaryolar, satın alınan şirketin güvenlik açıklarına sahip olması, güvenlik yeteneklerinin sınırlı olması veya ürünler, teknolojiler, hizmetler ve ekipler entegre edildiğinden uyumluluk sorunlarının ortaya çıkmasıdır. Daha geniş bir alanda değil, yalnızca Dropbox Sign ürününün ihlal edilmiş olması, HelloSign ürününde satın alma sırasında bir güvenlik açığının var olduğunu ya da şirketin ürünü değiştirip yeniden markalamasıyla zaman içinde geliştiğini gösteriyor.
“Hassas belgelere ve imza hizmetine erişime sahip olan saldırganlar, suiistimal, kimlik hırsızlığı, dolandırıcılık ve iş e-postalarının ele geçirilmesi için muazzam bir kapsam sunuyor” dedi. “Dropbox kullanıcıları, bir saldırganın kendi imzası ve yasal belgeleri kendi adına imzalama yetkisi varmış gibi davranmalı. Bir an önce şifrelerini değiştirip MFA’yı etkinleştirmeleri gerekiyor.”