Többek között mailcímekhez, felhasználónevekhez, telefonszámokhoz, hashelt jelszavakhoz, fiókbeállítási adatokhoz, API-kulcsokhoz, OAuth-tokenekhez és többfaktoros hitelesítéshez tartozó adatokhoz is hozzáfértek azok a hekkerek, akik a közelmúltban megtörték a Dropbox Sign szolgáltatást. (Az eredetileg HelloSign névre hallgató szolgáltatás az elektronikus aláírások teljes körű kezelését kínálja.)

A cég május elsején kiadott közleménye szerint a biztonsági csapat április 24-én azonosította az incidenst. A problémát súlyosbítja, hogy olyan felhasználók azonosító információi is veszélybe kerültek, akiknek Dropbox-fiókjuk sem volt, csupán kaptak egy Dropbox Signon keresztül aláírt dokumentumot. Ugyanakkor a vizsgálat szerint semmi sem utal arra, hogy a támadók hozzáfértek volna fizetési információkhoz vagy az ügyfelek fájljaihoz (aláírt dokumentumok, szerződések stb.).

Bár a vizsgálat még tart, a cég azt is közölte, hogy más Dropbox-szolgáltatáshoz nem fértek hozzá a hekkerek. A kiadott közlemény külön hangsúlyozza, hogy az incidens a Dropbox Sign infrastruktúrájára korlátozódott.

Egy rendszerkonfigurációs eszköz a ludas

Az eddigi vizsgálatok szerint a támadók egy automatizált rendszerkonfigurációs eszközön keresztül jutottak be a Dropbox Sing rendszerébe. Hozzáférést szereztek egy a backend részben futó szolgáltatási fiókhoz, amely alkalmazások és szolgáltatások automatizált futtatására szolgál. A fiók – funkciójából adódóan – széleskörű jogosultságokkal rendelkezett, így a támadók rajta keresztül könnyen hozzáférhettek az ügyféladatbázishoz.

A biztonsági csapat az incidens azonosítása után azonnal megtette a szükséges intézkedéseket, például kijelentkeztette a felhasználókat, ha azok a Dropbox Signhez csatlakoztak valamilyen eszközről. Emellett minden érintettet értesítettek, hogy a következő alkalommal csak a jelszó-visszaállítás funkcióval tudnak belépni a fiókjukba.

A szolgáltatás API-ját használó ügyfeleknek az API-kulcsukat is le kell cserélniük. A Dropbox a cseréig az API-kulcsoknak csak az üzletmenet fenntartásához feltétlenül szükséges funkcióit engedélyezi (aláírás-kérelem és aláírás). A korlátozásokat csak kulcs lecserélése után oldják fel.

Aki többfaktoros hitelesítési alkalmazáshoz használta a Dropbox Signt, egy jelszó-visszaállítással megússza a teendőket, ha pedig SMS-t használ második faktorként, semmit sem kell tennie.