Хакери зламали сервіс електронного підпису Dropbox Sign – в результаті стався масштабний витік особистих даних користувачів, у тому числі імена, номери телефонів і паролі, що хешують.
Компанія Dropbox, розробник популярного хмарного сховища файлів, заявила про злам свого сервісу електронного підпису документів Dropbox Sign, раніше відомого як HelloSign. Як повідомляється в офіційному блозі компанії, нещодавно зловмисники отримали несанкціонований доступ до внутрішньої інфраструктури Dropbox Sign. В результаті було скомпрометовано інформацію про користувачів сервісу, включаючи адреси електронної пошти, імена користувачів, номери телефонів, хешовані паролі, а також ключі API, токени доступу та дані для багатофакторної автентифікації.
Дані користувачів (адреси електронної пошти та імена), які лише отримували або підписували документи через Dropbox Sign, але не реєстрували обліковий запис, також було розкрито. Платіжна інформація та вміст підписаних документів, за заявою компанії, скомпрометовані не були.
За результатами розслідування стало відомо, що зловмисники зламали один зі службових облікових записів, що використовуються для автоматизованого управління інфраструктурою, і через нього отримали доступ до бази даних користувачів Dropbox Sign.
У відповідь на інцидент команда безпеки Dropbox скинула паролі користувачів Dropbox Sign, відкликала маркери доступу та ініціювала ротацію криптографічних ключів, а постраждалим були розіслані інструкції щодо додаткового захисту даних.
Як запевнили в компанії, інцидент торкнувся лише інфраструктури сервісу Dropbox Sign і не вплинув на інші продукти та сервіси Dropbox, включаючи популярне хмарне сховище файлів. Тим не менш, цей інцидент ставить перед Dropbox серйозне питання щодо безпеки конфіденційних даних своїх клієнтів. Компанія пообіцяла провести ретельне розслідування того, що сталося, і вжити додаткових заходів для запобігання подібним інцидентам у майбутньому.