דרופבוקס דיווחה: "תוקפים פרצו את שירות החתימה האלקטרונית שלנו"

בשבוע שעבר, ביום ד', חשפה דרופבוקס (Dropbox) כי פריצת אבטחה פגעה בלקוחות 'Sign' – שירות החתימה האלקטרונית שלה.

Dropbox Sign – שהיה מוכר בעבר בשם HelloSign – מאפשר למשתמשים לשלוח, לקבל ולנהל חתימות אלקטרוניות בעלות תוקף משפטי. על פי הדיווח של דרופבוקס עצמה, גורם זדוני ניצל פרצת אבטחה במערכת 'Sign' והשיג דרכה גישה למידע על משתמשים, כולל כתובות דואר אלקטרוני, שמות משתמש, מספרי טלפון, סיסמאות מוצפנות, נתונים אודות הגדרות חשבון כלליות ומידע אימות, כגון מפתחות API, אסימוני OAuth ואימות דו-גורמי (MFA).

גם המידע של משתמשים שרק קיבלו או חתמו על מסמך באמצעות 'Sign', ולא יצרו לעצמם חשבון כלל – נפגע. כתובת הדואר האלקטרוני שלהם נחשפה באירוע הסייבר.

עם זאת, אין אינדיקציה לכך שכחלק מהפרצה התבצעה גישה למידע על אמצעי תשלום או לקבצי לקוחות ענקית האחסון האמריקנית.

🚨 Dropbox Sign has been breached.

Hashed passwords were accessed, but we don't yet know what algorithm they used!

Change your Dropbox password ASAP (and any other services you used with that username+pw)

👉 Make sure you're using unique passwords with a password manager app! https://t.co/neGv464AGm pic.twitter.com/klzqkpsDtP

— Jackie Singh (@HackingButLegal) May 1, 2024

מה מומלץ לעשות אם יש חשש שנתוניכם הופרו?

חקירת הפירצה, אשר התגלתה ב-24 באפריל, נמשכת. עד כה אין ראיות לכך שמוצרים אחרים של דרופבוקס נפגעו. החברה קבעה שהתוקף או התוקפים ניצל או ניצלו גישה לכלי תצורה אוטומטי של המערכת. לדבריה, "הגורם הזדוני פגע בחשבון שירות שהיה חלק מהמערכת האחורית של 'Sign', שהוא סוג של חשבון לא אנושי המשמש להפעלת יישומים וביצוע שירותים אוטומטיים".

ל"פיכך", הסבירו ב-דרופבוקס, "לחשבון זה היו הרשאות לבצע מגוון פעולות בסביבת הייצור של 'Sign'. לאחר מכן, התוקף הזדוני ניצל גישה זו לסביבת הייצור, כדי לגשת למסד הנתונים של הלקוחות שלנו".

בתגובה לאירוע, החברה הרחיבה כי היא מיידעת את המשתמשים שנפגעו, מנתקת אותם משירות 'Sign' ומאפסת את הסיסמאות שלהם. בנוסף, מפתחות API ואסימוני OAuth יקבלו שינויים שיחסמו אותם משימוש ההאקרים.

דרופבוקס גם המליצה ללקוחות שלה המשתמשים באפליקציית אימות לצורך אימות דו-גורמי לאפס את הנתונים בה, וכן לשנות סיסמאות בשירותים מקוונים אחרים בהם משמשת סיסמה זהה לסיסמת ה-'Sign' שלהם לצורך הכניסה.

יצוין כי בנובמבר 2022, הודיעה  דרופבוקס כי גורם זדוני קיבל גישה לקוד המקור ולמידע אישי של לקוחות ועובדים שלה, בעקבות מתקפת פישינג.