Компания Dropbox опубликовала в своем блоге результаты расследования взлома в инфраструктуре. Авторы ограничиваются сообщением о том, что атака была замечена сотрудниками компании 24 апреля, не уточняя, когда именно произошел инцидент. Рассказываем, что произошло, какие данные были украдены и как следует защищаться от последствий инцидента.
Взлом Dropbox Sign: как это случилось и что в итоге утекло
Неким злоумышленникам удалось скомпрометировать сервисную учетную запись Dropbox Sign и таким образом получить доступ к внутреннему инструменту автоматической настройки платформы. Используя этот доступ, взломщики смогли наложить руку на базу данных, в которой содержалась информация о пользователях Dropbox Sign.
В итоге были украдены следующие данные зарегистрированных пользователей сервиса Sign:
имена учетных записей;
адреса электронной почты;
номера телефонов;
пароли (в хешированном виде);
ключи аутентификации в API Dropbox Sign;
токены аутентификации OAuth;
токены двухфакторной аутентификации с помощью SMS или приложения.
Если пользователи сервиса взаимодействовали с ним без создания аккаунта, то из их данных утекли только имена и адреса электронной почты.
В Dropbox утверждают, что не обнаружили признаков несанкционированного доступа к содержимому пользовательских аккаунтов, то есть документам и соглашениям, а также платежной информации.
В качестве защитной меры в Dropbox сбросили пароли для всех аккаунтов Dropbox Sign и завершили все активные сессии — так что в сервис придется логиниться заново, в процессе устанавливая новый пароль.
Касается ли взлом Dropbox Sign всех пользователей Dropbox?
Dropbox Sign, ранее известный как HelloSign, — это отдельный инструмент Dropbox для облачного документооборота, в первую очередь для подписания электронных документов. Ближайшие аналоги этого сервиса — DocuSign и Adobe Sign.
Как подчеркивает компания в своем заявлении, инфраструктура Dropbox Sign «в значительной степени отделена от других сервисов Dropbox». Судя по результатам расследования, проведенного компанией, взлом Dropbox Sign был изолированным инцидентом и не затронул другие продукты Dropbox.
Таким образом, по имеющимся данным взлом Dropbox Sign никак не угрожает пользователям основного сервиса компании, то есть собственно облачного файлового хранилища Dropbox. Это справедливо в том числе для тех пользователей, у которых учетная запись в Sign была привязана к основному аккаунту Dropbox.
Что следует сделать в связи со взломом Dropbox Sign?
В Dropbox уже сбросили пароли для всех аккаунтов Dropbox Sign. Так что поменять пароль в любом случае придется. Рекомендуем использовать полностью новый пароль, а не слегка модифицированную версию старого. В идеале стоит сгенерировать длинную случайную комбинацию символов с помощью менеджера паролей и сохранить ее в нем же.
Поскольку помимо паролей были украдены токены двухфакторной аутентификации, следует также сбросить и их. Если вы пользовались SMS, то сброс произошел автоматически. А если вы пользуетесь приложением, то это придется сделать самостоятельно. Для этого пройдите заново процедуру регистрации вашего приложения-аутентификатора в сервисе Dropbox Sign.
Также в список украденного взломщиками входят ключи аутентификации в API Dropbox Sign. Так что если ваша компания использовала данный инструмент через API, то надо заново сгенерировать ключ.
Наконец, если вы использовали тот же пароль в каких-то других сервисах — особенно в сочетании с тем же самым именем пользователя, адресом электронной почты или номером телефона, с которым регистрировались в Dropbox Sign — то следует как можно быстрее поменять пароль и в этих сервисах. Опять-таки, для этого удобно использовать менеджер паролей, который, кстати, входит в состав нашего защитного решения для малого бизнеса.
Бизнес — Блог Касперского
