Dropbox, eski adıyla HelloSign olarak bilinen Dropbox Sign e-imza ürününün saldırıya uğradığını ve bunun sonucunda müşteri verilerine yetkisiz olarak erişildiğini duyurdu. SEC dosyasında şirket, ihlali 24 Nisan tarihinde keşfettiğini ve soruşturma başlattığını ifade ediyor.
Saldırganların Dropbox Sign’ın altyapısındaki otomatik sistem yapılandırma aracına erişim sağladığı görülüyor. Güvenliği ihlal edilen hesabın müşteri veritabanına erişime izin veren yükseltilmiş ayrıcalıklara sahip olduğu paylaşılıyor. Kapsamın tamamı halen araştırılıyor olsa da Dropbox, e-postalar ve kullanıcı adları gibi belirli ayrıntıların tüm Sign kullanıcıları için erişilebilir olduğunu doğruluyor.
Bazı müşteriler için ek bilgilerin de risk altında olduğu ve buna telefon numaraları, karma şifreler ve API anahtarları ile OAuth belirteçleri gibi kimlik doğrulama belirteçleri dahil olduğu belirtiliyor. Sign hesaplarını alan ancak bunları oluşturmayan üçüncü tarafların isimleri ve e-posta adresleri de dahil olmak üzere hassas verileri de açığa çıkmış durumda.
Dropbox, ihlali fark ettikten sonra güvenlik ekiplerinin hemen şifreleri sıfırladığını, bağlı cihazlarda oturumu kapattığını ve hesapları korumak için API anahtarlarını ve belirteçlerini değiştirdiğini söylüyor. Soruşturmanın devam etmesi üzerine kolluk kuvvetlerine bilgi verilmiş. Şirket, sözleşme içeriğine, ödeme bilgilerine veya Sign dışındaki diğer sistemlere sızıldığına dair hiçbir kanıt bulunmadığının altını çiziyor.
Şirket, etkilenen kullanıcılara kendilerini korumak için atabilecekleri adımları doğrudan ulaştırıyor ancak kaç müşterinin kişisel verilerinin çalınmış olabileceği belirtilmedi.