Többek között mailcímekhez, felhasználónevekhez, telefonszámokhoz, hashelt jelszavakhoz, fiókbeállítási adatokhoz, API-kulcsokhoz, OAuth-tokenekhez és többfaktoros hitelesítéshez tartozó adatokhoz is hozzáfértek azok a hekkerek, akik a közelmúltban megtörték a Dropbox Sign szolgáltatást. (Az eredetileg HelloSign névre hallgató szolgáltatás az elektronikus aláírások teljes körű kezelését kínálja.)
A cég május elsején kiadott közleménye szerint a biztonsági csapat április 24-én azonosította az incidenst. A problémát súlyosbítja, hogy olyan felhasználók azonosító információi is veszélybe kerültek, akiknek Dropbox-fiókjuk sem volt, csupán kaptak egy Dropbox Signon keresztül aláírt dokumentumot. Ugyanakkor a vizsgálat szerint semmi sem utal arra, hogy a támadók hozzáfértek volna fizetési információkhoz vagy az ügyfelek fájljaihoz (aláírt dokumentumok, szerződések stb.).
Bár a vizsgálat még tart, a cég azt is közölte, hogy más Dropbox-szolgáltatáshoz nem fértek hozzá a hekkerek. A kiadott közlemény külön hangsúlyozza, hogy az incidens a Dropbox Sign infrastruktúrájára korlátozódott.
Egy rendszerkonfigurációs eszköz a ludas
Az eddigi vizsgálatok szerint a támadók egy automatizált rendszerkonfigurációs eszközön keresztül jutottak be a Dropbox Sing rendszerébe. Hozzáférést szereztek egy a backend részben futó szolgáltatási fiókhoz, amely alkalmazások és szolgáltatások automatizált futtatására szolgál. A fiók – funkciójából adódóan – széleskörű jogosultságokkal rendelkezett, így a támadók rajta keresztül könnyen hozzáférhettek az ügyféladatbázishoz.
A biztonsági csapat az incidens azonosítása után azonnal megtette a szükséges intézkedéseket, például kijelentkeztette a felhasználókat, ha azok a Dropbox Signhez csatlakoztak valamilyen eszközről. Emellett minden érintettet értesítettek, hogy a következő alkalommal csak a jelszó-visszaállítás funkcióval tudnak belépni a fiókjukba.
A szolgáltatás API-ját használó ügyfeleknek az API-kulcsukat is le kell cserélniük. A Dropbox a cseréig az API-kulcsoknak csak az üzletmenet fenntartásához feltétlenül szükséges funkcióit engedélyezi (aláírás-kérelem és aláírás). A korlátozásokat csak kulcs lecserélése után oldják fel.
Aki többfaktoros hitelesítési alkalmazáshoz használta a Dropbox Signt, egy jelszó-visszaállítással megússza a teendőket, ha pedig SMS-t használ második faktorként, semmit sem kell tennie.
Az ötlettől az értékteremtésig – egy jól működő adattudományi szervezet alapjai
Miért bukik el annyi adattudományi kezdeményezés már az indulás után? A válasz gyakran nem az algoritmusok összetettségében, hanem az adatok minőségében és kezelésében keresendő. Stabil adatforrások, következetes feature-kezelés és egy jól felépített Feature Store nélkül a gépi tanulás ritkán jut el a valódi üzleti értékteremtésig.
a melléklet támogatója a One Solutions
EGY NAPBA SŰRÍTÜNK MINDENT, AMIT MA EGY PROJEKTMENEDZSERNEK TUDNIA KELL!
Ütős esettanulmányok AI-ról, agilitásról, csapattopológiáról. Folyamatos programok három teremben és egy közösségi térben: exkluzív információk, előadások, interaktív workshopok, networking, tapasztalatcsere.
2026.03.10. UP Rendezvénytér
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak