По информации Dropbox, хакеры смогли на некоторое время получить доступ к платформе Dropbox Sign eSignature, токенам аутентификации, данным многофакторной аутентификации (МФА), хешированным паролям и информации о клиентах
Сервис Dropbox Sign (ранее HelloSign) — это платформа электронной подписи, позволяющая клиентам хранить, отправлять и подписывать документы онлайн. Причём эти электронные подписи имеют юридическую силу.
24 апреля специалисты по ИБ из Dropbox обнаружили несанкционированный доступ к IT-инфраструктуре компании, а также к производственным системам сервиса DropBox Sign.
Расследование инцидента показало, что злоумышленники получили доступ к автоматизированному инструменту для настройки системы Dropbox Sign, который является частью бэкэнд-сервисов платформы. Далее хакеры смогли запускать определённые приложения и автоматизированные сервисы в системе с повышенными привилегиями, что позволило им получить доступ к закрытым базам данных клиентов внутри периметра организации.
«В ходе дальнейшего расследования мы обнаружили, что злоумышленники получили доступ к данным, в том числе информации о клиентах Dropbox Sign, включая адреса электронной почты, имена пользователей, номера телефонов и хешированные пароли, а также общие настройки аккаунтов и некоторые аутентификационные данные (такие как ключи API, токены OAuth и МФА)», — сообщили в Dropbox.
В DropBox сбросили пароли всех пользователей, завершили все сеансы клиентов в Dropbox Sign и ограничили использование API-ключей до тех пор, пока те не будут заменены на новые. В компании разослали электронные письма всем пользователям, которых затронул этот инцидент. Также клиентам Dropbox Sign рекомендуется остерегаться возможных фишинговых кампаний, которые могут использовать украденные данные для сбора конфиденциальной информации, например, паролей.
В DropBox заявили, что не обнаружили никаких доказательств того, что злоумышленники получили доступ к документам, конфиденциальным соглашениям или платёжной информации клиентов. По данным экспертов компании, хакеры не имели доступа к системам других сервисов, кроме Dropbox Sign, так как «инфраструктура Dropbox Sign в значительной степени отделена от других сервисов Dropbox».
Источник
