Dropbox Sign biztonsági incidens
A DropBox felhőtároló cég szerint a hackerek feltörték a DropBox Sign eSignature platform termelési rendszereit, és hozzáférést nyertek hitelesítési tokenekhez, MFA-kulcsokhoz, kivonatolt jelszavakhoz és ügyféladatokhoz.
A DropBox Sign (korábban HelloSign) egy eSignature platform, amely lehetővé teszi az ügyfelek számára, hogy dokumentumokat küldjenek online, hogy jogilag kötelező aláírásokat kapjanak.
A cég azt állítja, hogy április 24-én észlelték a DropBox Sign gyártási rendszereihez való jogosulatlan hozzáférést, és vizsgálatot indítottak.
Azon felhasználók számára, akik használták az eAláírás platformot, de nem regisztráltak fiókot, az e-mail címüket és a nevüket is nyilvánosságra hozták.
A cég azt állítja, hogy nem találtak bizonyítékot arra, hogy a fenyegetés szereplői hozzáfértek az ügyfelek dokumentumaihoz vagy megállapodásaihoz, és nem fértek hozzá más DropBox-szolgáltatások platformjaihoz.
A DropBox azt állítja, hogy visszaállította az összes felhasználó jelszavát, kijelentkezett az összes munkamenetből a DropBox Sign szolgáltatásból, és korlátozta az API-kulcsok használatát, amíg az ügyfél el nem forgatja azokat.
A vállalat a biztonsági tanácsokban további információkat közölt arról, hogyan lehet elforgatni az API-kulcsokat, hogy ismét teljes jogosultságokat kapjanak.