Többek között mailcímekhez, felhasználónevekhez, telefonszámokhoz, hashelt jelszavakhoz, fiókbeállítási adatokhoz, API-kulcsokhoz, OAuth-tokenekhez és többfaktoros hitelesítéshez tartozó adatokhoz is hozzáfértek azok a hekkerek, akik a közelmúltban megtörték a Dropbox Sign szolgáltatást. (Az eredetileg HelloSign névre hallgató szolgáltatás az elektronikus aláírások teljes körű kezelését kínálja.)
A cég május elsején kiadott közleménye szerint a biztonsági csapat április 24-én azonosította az incidenst. A problémát súlyosbítja, hogy olyan felhasználók azonosító információi is veszélybe kerültek, akiknek Dropbox-fiókjuk sem volt, csupán kaptak egy Dropbox Signon keresztül aláírt dokumentumot. Ugyanakkor a vizsgálat szerint semmi sem utal arra, hogy a támadók hozzáfértek volna fizetési információkhoz vagy az ügyfelek fájljaihoz (aláírt dokumentumok, szerződések stb.).
Bár a vizsgálat még tart, a cég azt is közölte, hogy más Dropbox-szolgáltatáshoz nem fértek hozzá a hekkerek. A kiadott közlemény külön hangsúlyozza, hogy az incidens a Dropbox Sign infrastruktúrájára korlátozódott.
Egy rendszerkonfigurációs eszköz a ludas
Az eddigi vizsgálatok szerint a támadók egy automatizált rendszerkonfigurációs eszközön keresztül jutottak be a Dropbox Sing rendszerébe. Hozzáférést szereztek egy a backend részben futó szolgáltatási fiókhoz, amely alkalmazások és szolgáltatások automatizált futtatására szolgál. A fiók – funkciójából adódóan – széleskörű jogosultságokkal rendelkezett, így a támadók rajta keresztül könnyen hozzáférhettek az ügyféladatbázishoz.
A biztonsági csapat az incidens azonosítása után azonnal megtette a szükséges intézkedéseket, például kijelentkeztette a felhasználókat, ha azok a Dropbox Signhez csatlakoztak valamilyen eszközről. Emellett minden érintettet értesítettek, hogy a következő alkalommal csak a jelszó-visszaállítás funkcióval tudnak belépni a fiókjukba.
A szolgáltatás API-ját használó ügyfeleknek az API-kulcsukat is le kell cserélniük. A Dropbox a cseréig az API-kulcsoknak csak az üzletmenet fenntartásához feltétlenül szükséges funkcióit engedélyezi (aláírás-kérelem és aláírás). A korlátozásokat csak kulcs lecserélése után oldják fel.
Aki többfaktoros hitelesítési alkalmazáshoz használta a Dropbox Signt, egy jelszó-visszaállítással megússza a teendőket, ha pedig SMS-t használ második faktorként, semmit sem kell tennie.
Rendszerek és emberek: a CIO választásai egy új magyar felmérés tükrében
"Nehéz informatikusnak lenni egy olyan cégben, ahol sok az IT-s" – jegyezte meg egy egészségügyi technológiákat fejlesztő cég informatikai vezetője, amikor megkérdeztük, milyennek látja házon belül az IT és a többi osztály közötti kommunikációt.
Így lehet sok önálló kiberbiztonsági eszközéből egy erősebbet csinálni
A kulcsszó a platform. Ha egy cég jó platformot választ, akkor az egyes eszközök előnyei nem kioltják, hanem erősítik egymást, és még az üzemeltetés is olcsóbb lesz.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak