Người dùng Dropbox Sign – cho đến gần đây được gọi là HelloSign – dịch vụ ký tài liệu đã được cảnh báo về một vụ vi phạm dữ liệu ảnh hưởng đến thông tin của họ sau khi một tác nhân đe dọa không được tiết lộ đã đột nhập vào hệ thống của nó.
Dropbox lần đầu tiên biết rằng ai đó đã có quyền truy cập trái phép vào môi trường sản xuất Dropbox Sign vào ngày 24 tháng 4 – cho thấy họ có thể đã có quyền truy cập trước đó. Khi điều tra sâu hơn, họ phát hiện ra rằng dữ liệu khách hàng bao gồm địa chỉ email, tên người dùng, số điện thoại và mật khẩu băm đã bị truy cập, cũng như một số thông tin xác thực bao gồm khóa giao diện lập trình ứng dụng (API), mã thông báo OAuth và xác thực đa yếu tố (MFA).
Ngoài ra, một số người đã nhận hoặc ký tài liệu thông qua Dropbox Sign nhưng chưa bao giờ tạo tài khoản đã bị lộ địa chỉ email và tên của họ. Tuy nhiên, những người đã tạo tài khoản nhưng không thiết lập mật khẩu – ví dụ: họ đăng ký thông qua tài khoản Google – không có mật khẩu nào được lưu trữ hoặc bị lộ.
Dropbox cho biết họ không tìm thấy bằng chứng nào về việc truy cập vào nội dung tài khoản khách hàng hoặc thông tin thanh toán và cũng không tìm thấy bất kỳ sản phẩm nào khác của họ đã bị truy cập. Dropbox Sign, được mua lại vào năm 2019, vẫn chạy trên cơ sở hạ tầng riêng biệt.
Công ty hiện đang liên hệ với những người dùng bị ảnh hưởng để cung cấp thêm thông tin và hướng dẫn, đồng thời nhóm bảo mật của công ty đã tiến hành buộc đặt lại mật khẩu và đăng xuất người dùng khỏi bất kỳ thiết bị nào họ đã kết nối với Dropbox Sign. Hiện tại, nó đang hoạt động để xoay vòng tất cả các khóa API và mã thông báo OAuth.
Tổ chức này cho biết trong một bài đăng trên blog đính kèm thông báo tiết lộ của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC): “Khi chúng tôi biết về vấn đề này, chúng tôi đã tiến hành một cuộc điều tra với các nhà điều tra pháp y hàng đầu trong ngành để hiểu điều gì đã xảy ra và giảm thiểu rủi ro cho người dùng của chúng tôi”. .
“Dựa trên cuộc điều tra của chúng tôi, một bên thứ ba đã có được quyền truy cập vào công cụ cấu hình hệ thống tự động Dropbox Sign,” nó tiếp tục. “Tác nhân đã xâm phạm một tài khoản dịch vụ nằm trong phần phụ trợ của Sign, một loại tài khoản không phải của con người được sử dụng để thực thi các ứng dụng và chạy các dịch vụ tự động. Do đó, tài khoản này có đặc quyền thực hiện nhiều hành động khác nhau trong môi trường sản xuất của Sign. Sau đó, kẻ đe dọa đã sử dụng quyền truy cập này vào môi trường sản xuất để truy cập vào cơ sở dữ liệu khách hàng của chúng tôi.
“Tại Dropbox, giá trị số một của chúng tôi là đáng tin cậy. Chúng tôi giữ vững tiêu chuẩn cao khi bảo vệ khách hàng và nội dung của họ. Chúng tôi đã không đáp ứng được tiêu chuẩn đó ở đây và chúng tôi vô cùng xin lỗi vì tác động mà nó đã gây ra cho khách hàng của chúng tôi.”
Dropbox hiện đang bắt tay vào một cuộc “đánh giá rộng rãi” để hiểu rõ hơn chính xác những gì đã xảy ra, cách thức cũng như cách bảo vệ chính nó tốt hơn trong tương lai.
Người đứng đầu ứng phó sự cố Integrity360 Patrick Wragg cho biết người dùng Dropbox Sign có thể nghĩ rằng họ đã may mắn thoát chết vì mật khẩu truy cập đã được băm, nhưng do khóa API và dữ liệu xác thực khác bị xâm phạm, vẫn có lý do để lo ngại.
Ông nói: “Lấy khóa API và mã thông báo OAuth làm ví dụ. “Những thứ này được cho là tệ hơn mật khẩu vì chúng cho phép quyền truy cập có thể lập trình được, theo tập lệnh vào tài khoản của chủ sở hữu. Dropbox ví dụ. Trong hầu hết các trường hợp, khóa API và mã thông báo OAuth được tạo dưới danh nghĩa đặc quyền vì chúng được sử dụng cho mục đích lập trình, viết tập lệnh.
“Do đó, kẻ đe dọa chỉ có thể sử dụng khóa/mã thông báo để truy cập vào Dropbox tài khoản không có tên người dùng, mật khẩu và thậm chí cả MFA.”
Giám đốc điều hành Socura Andy Kays cho biết: “Đây có vẻ giống như một trường hợp vi phạm kinh điển thông qua việc mua lại. Khi một công ty lớn mua một công ty nhỏ hơn, nó có thể gây ra những rủi ro lớn về bảo mật. Các tình huống phổ biến nhất là công ty được mua lại có lỗ hổng bảo mật, khả năng bảo mật hạn chế hoặc có vấn đề về khả năng tương thích khi các sản phẩm, công nghệ, dịch vụ và nhóm được tích hợp. Thực tế là chỉ có sản phẩm Dropbox Sign bị vi phạm – không phải phạm vi kinh doanh rộng hơn – cho thấy rằng lỗ hổng bảo mật đã tồn tại với sản phẩm HelloSign tại thời điểm mua hoặc phát triển theo thời gian khi công ty thay đổi và đổi tên thương hiệu.
Ông nói: “Đối thủ có quyền truy cập vào các tài liệu nhạy cảm và dịch vụ chữ ký sẽ tạo ra phạm vi rất lớn cho việc lạm dụng, đánh cắp danh tính, lừa đảo và xâm phạm email kinh doanh”. “Người dùng Dropbox phải hành động như thể kẻ tấn công có chữ ký và khả năng ký các văn bản pháp lý dưới tên của họ. Họ nên thay đổi mật khẩu và kích hoạt MFA ngay lập tức.”