Die Cloud-Speicherfirma Dropbox hat bekanntgegeben, dass Hacker in die Produktionssysteme ihrer eSignature-Plattform, Dropbox Sign, eingedrungen sind und dabei Zugriff auf Authentifizierungstoken, MFA-Schlüssel, gehashte Passwörter und Kundeninformationen erlangten.
Dropbox Sign, ehemals bekannt als HelloSign, ermöglicht es Kunden, Dokumente online zu senden, um rechtsgültige Unterschriften zu erhalten. Der unbefugte Zugriff auf die Produktionssysteme wurde am 24. April festgestellt, woraufhin sofort eine Untersuchung eingeleitet wurde.
Die Ermittlungen ergaben, dass die Angreifer Zugang zu einem automatisierten Systemkonfigurationswerkzeug von Dropbox Sign erlangten, das Teil der Back-End-Dienste der Plattform ist. Dieses Werkzeug ermöglichte es dem Angreifer, Anwendungen und automatisierte Dienste mit erhöhten Berechtigungen auszuführen und somit auf die Kundendatenbank zuzugreifen.
Umfang des Datenlecks
Dropbox berichtete weiter, dass die Angreifer Daten einschließlich E-Mail-Adressen, Benutzernamen, Telefonnummern und gehashten Passwörtern von Dropbox Sign-Kunden sowie allgemeinen Kontoeinstellungen und bestimmten Authentifizierungsinformationen wie API-Schlüsseln, OAuth-Token und Multi-Faktor-Authentifizierungsinformationen abrufen konnten.
Für Nutzer, die die eSignature-Plattform verwendet haben, ohne ein Konto zu registrieren, wurden ebenfalls E-Mail-Adressen und Namen offengelegt. Es gibt jedoch keine Hinweise darauf, dass die Angreifer Zugriff auf Kundenunterlagen oder -vereinbarungen hatten oder dass andere Dropbox-Dienste betroffen waren.
Maßnahmen zur Schadensbegrenzung
Als Reaktion auf den Vorfall hat Dropbox alle Passwörter zurückgesetzt, alle Sitzungen zu Dropbox Sign abgemeldet und die Verwendung von API-Schlüsseln eingeschränkt, bis diese von den Kunden rotiert werden. Im Sicherheitshinweis des Unternehmens finden Kunden Anleitungen zur Rotation der API-Schlüssel, um wieder volle Berechtigungen zu erhalten.
Nutzer, die MFA bei Dropbox Sign verwenden, sollten die Konfiguration aus ihren Authentifizierungs-Apps löschen und sie mit einem neuen MFA-Schlüssel, der von der Webseite abgerufen werden kann, neu konfigurieren.
Dropbox informiert derzeit per E-Mail alle Kunden, die von dem Vorfall betroffen sind.
Vorsicht vor Phishing-Versuchen
Kunden von Dropbox Sign sollten auf der Hut vor möglichen Phishing-Kampagnen sein, die diese Daten nutzen könnten, um sensible Informationen wie Klartext-Passwörter zu sammeln. Wenn Sie eine E-Mail von Dropbox Sign erhalten, in der Sie aufgefordert werden, Ihr Passwort zurückzusetzen, folgen Sie keinen Links in der E-Mail. Besuchen Sie stattdessen direkt Dropbox Sign und setzen Sie Ihr Passwort über die Website zurück.