Поставщик услуг облачного хранения данных Dropbox в среду сообщил, что Dropbox Sign (ранее HelloSign) был взломан неизвестными злоумышленниками, которые получили доступ к электронной почте, именам пользователей и общим настройкам учетных записей, связанным со всеми пользователями продукта для цифровой подписи.
Компания в заявлении в Комиссию по ценным бумагам и биржам США (SEC) заявила, что ей стало известно о "несанкционированном доступе" 24 апреля 2024 года. Dropbox объявила о своих планах приобрести HelloSign в январе 2019 года.
"Субъект угрозы получил доступ к данным, относящимся ко всем пользователям Dropbox Sign, таким как электронные письма и имена пользователей, в дополнение к общим настройкам учетной записи", - говорится в форме 8-K..
"Для групп пользователей субъект угрозы также получал доступ к телефонным номерам, хэшированным паролям и определенной информации для аутентификации, такой как ключи API, токены OAuth и многофакторная аутентификация".
Что еще хуже, вторжение также затрагивает третьих лиц, которые получили или подписали документ через Dropbox Sign, но сами никогда не создавали учетную запись, в частности, раскрывая свои имена и адреса электронной почты.
Проведенное на данный момент расследование не выявило доказательств того, что злоумышленники получали доступ к содержимому учетных записей пользователей, такому как соглашения или шаблоны, или к их платежной информации. Также сообщается, что инцидент ограничен инфраструктурой подписи Dropbox.
Считается, что злоумышленники получили доступ к инструменту автоматической настройки системы Dropbox Sign и скомпрометировали учетную запись службы, которая является частью серверной части Sign, используя повышенные привилегии учетной записи для доступа к базе данных клиентов.
Компания, однако, не раскрыла, сколько клиентов пострадало от взлома, но заявила, что находится в процессе обращения ко всем пострадавшим пользователям с "пошаговыми инструкциями" по защите их информации.
"Наша служба безопасности также сбрасывает пароли пользователей, выводит пользователей из системы на любых устройствах, которые они подключали к Dropbox Sign, и координирует ротацию всех ключей API и токенов OAuth", - говорится в сообщении.
Dropbox также заявила, что сотрудничает с правоохранительными и регулирующими органами по этому вопросу. Дальнейший анализ нарушения продолжается.
Это второй подобный инцидент, направленный против Dropbox за последние два года. В ноябре 2022 года компания обнародовала, что стала жертвой фишинговой кампании, которая позволила неизвестным субъектам угрозы получить несанкционированный доступ к 130 хранилищам исходного кода на GitHub.
Компания в заявлении в Комиссию по ценным бумагам и биржам США (SEC) заявила, что ей стало известно о "несанкционированном доступе" 24 апреля 2024 года. Dropbox объявила о своих планах приобрести HelloSign в январе 2019 года.
"Субъект угрозы получил доступ к данным, относящимся ко всем пользователям Dropbox Sign, таким как электронные письма и имена пользователей, в дополнение к общим настройкам учетной записи", - говорится в форме 8-K..
"Для групп пользователей субъект угрозы также получал доступ к телефонным номерам, хэшированным паролям и определенной информации для аутентификации, такой как ключи API, токены OAuth и многофакторная аутентификация".
Что еще хуже, вторжение также затрагивает третьих лиц, которые получили или подписали документ через Dropbox Sign, но сами никогда не создавали учетную запись, в частности, раскрывая свои имена и адреса электронной почты.
Проведенное на данный момент расследование не выявило доказательств того, что злоумышленники получали доступ к содержимому учетных записей пользователей, такому как соглашения или шаблоны, или к их платежной информации. Также сообщается, что инцидент ограничен инфраструктурой подписи Dropbox.
Считается, что злоумышленники получили доступ к инструменту автоматической настройки системы Dropbox Sign и скомпрометировали учетную запись службы, которая является частью серверной части Sign, используя повышенные привилегии учетной записи для доступа к базе данных клиентов.
Компания, однако, не раскрыла, сколько клиентов пострадало от взлома, но заявила, что находится в процессе обращения ко всем пострадавшим пользователям с "пошаговыми инструкциями" по защите их информации.
"Наша служба безопасности также сбрасывает пароли пользователей, выводит пользователей из системы на любых устройствах, которые они подключали к Dropbox Sign, и координирует ротацию всех ключей API и токенов OAuth", - говорится в сообщении.
Dropbox также заявила, что сотрудничает с правоохранительными и регулирующими органами по этому вопросу. Дальнейший анализ нарушения продолжается.
Это второй подобный инцидент, направленный против Dropbox за последние два года. В ноябре 2022 года компания обнародовала, что стала жертвой фишинговой кампании, которая позволила неизвестным субъектам угрозы получить несанкционированный доступ к 130 хранилищам исходного кода на GitHub.
