Oldalunkon sütiket (cookie) használunk, amelyekről adatkezelési tájékoztatónkban olvashat.
Részletek Rendben
     
    Durva biztonsági incidens történt a Dropbox biztonsági szolgáltatásánál
    Bitport2024.05.03.Biztonság
    Az elektronikus aláírási szolgáltatást használó ügyfelek érzékeny adatai szivárogtak ki. Azoké is, akik csak kaptak Dropbox Signon keresztül aláírt dokumentumot.

    Többek között mailcímekhez, felhasználónevekhez, telefonszámokhoz, hashelt jelszavakhoz, fiókbeállítási adatokhoz, API-kulcsokhoz, OAuth-tokenekhez és többfaktoros hitelesítéshez tartozó adatokhoz is hozzáfértek azok a hekkerek, akik a közelmúltban megtörték a Dropbox Sign szolgáltatást. (Az eredetileg HelloSign névre hallgató szolgáltatás az elektronikus aláírások teljes körű kezelését kínálja.)

    A cég május elsején kiadott közleménye szerint a biztonsági csapat április 24-én azonosította az incidenst. A problémát súlyosbítja, hogy olyan felhasználók azonosító információi is veszélybe kerültek, akiknek Dropbox-fiókjuk sem volt, csupán kaptak egy Dropbox Signon keresztül aláírt dokumentumot. Ugyanakkor a vizsgálat szerint semmi sem utal arra, hogy a támadók hozzáfértek volna fizetési információkhoz vagy az ügyfelek fájljaihoz (aláírt dokumentumok, szerződések stb.).

    Bár a vizsgálat még tart, a cég azt is közölte, hogy más Dropbox-szolgáltatáshoz nem fértek hozzá a hekkerek. A kiadott közlemény külön hangsúlyozza, hogy az incidens a Dropbox Sign infrastruktúrájára korlátozódott.

    Egy rendszerkonfigurációs eszköz a ludas

    Az eddigi vizsgálatok szerint a támadók egy automatizált rendszerkonfigurációs eszközön keresztül jutottak be a Dropbox Sing rendszerébe. Hozzáférést szereztek egy a backend részben futó szolgáltatási fiókhoz, amely alkalmazások és szolgáltatások automatizált futtatására szolgál. A fiók – funkciójából adódóan – széleskörű jogosultságokkal rendelkezett, így a támadók rajta keresztül könnyen hozzáférhettek az ügyféladatbázishoz.

    A biztonsági csapat az incidens azonosítása után azonnal megtette a szükséges intézkedéseket, például kijelentkeztette a felhasználókat, ha azok a Dropbox Signhez csatlakoztak valamilyen eszközről. Emellett minden érintettet értesítettek, hogy a következő alkalommal csak a jelszó-visszaállítás funkcióval tudnak belépni a fiókjukba.

    A szolgáltatás API-ját használó ügyfeleknek az API-kulcsukat is le kell cserélniük. A Dropbox a cseréig az API-kulcsoknak csak az üzletmenet fenntartásához feltétlenül szükséges funkcióit engedélyezi (aláírás-kérelem és aláírás). A korlátozásokat csak kulcs lecserélése után oldják fel.

    Aki többfaktoros hitelesítési alkalmazáshoz használta a Dropbox Signt, egy jelszó-visszaállítással megússza a teendőket, ha pedig SMS-t használ második faktorként, semmit sem kell tennie.

    Ennyi nem elég? Iratkozzon fel hírlevelünkre!
    Biztonság

    CIO Hungary 2025: aki felkészül, az győz?

    Beszámolónk második része a 16. CIO Hungary konferencia első napjáról, benne az elmaradhatatlan biztonsági panellel, amit természetesen már a mesterséges intelligencia is tematizált.
     
    Hirdetés

    Digitalizáció a mindennapokban: hogyan lesz a stratégiai célból napi működés?

    A digitális transzformáció sok vállalatnál már nem cél, hanem elvárás – mégis gyakran megreked a tervezőasztalon. A vezetői szinten megfogalmazott ambiciózus tervek nehezen fordulnak át napi működéssé, ha hiányzik a technológiai rugalmasság vagy a belső kohézió.

    Hogyan alakítja át az MI az ügyfélszolgálatot?

    Azok a vállalatok, amelyek gyorsabban, intelligensebben és empatikusabban tudnak reagálni ügyfeleik kérdéseire, összességében értékesebb, hosszabb távú kapcsolatokat építhetnek ki.

    CIO KUTATÁS

    AZ IRÁNYÍTÁS VISSZASZERZÉSE

    Valóban egyre nagyobb lehet az IT és az IT-vezető súlya a vállalatokon belül? A nemzetközi mérések szerint igen, de mi a helyzet Magyarországon?

    Segítsen megtalálni a választ! Töltse ki a Budapesti Corvinus Egyetem és a Bitport anonim kutatását, és kérje meg erre üzleti oldalon dolgozó vezetőtársait is!

    Az eredményeket május 8-9-én ismertetjük a 16. CIO Hungary konferencián.

    LÁSSUNK NEKI!

    CIO Podcast #60: Megoldottuk a projektmenedzsment összes problémáját

    Régen minden jobb volt? A VMware licencelési változásai

    Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

    Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

    Az IT-projektmenedzsment új varázsszava: proof of concept

    Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

    Sok hazai cégnek kell szorosra zárni a kiberkaput

    Impresszum

    Médiaajánlat

    Adatkezelés
    Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
    © 2025 Bitport.hu Média Kft. Minden jog fenntartva.