مستخدمي علامة دروببوإكس – كانت تُعرف حتى وقت قريب باسم HelloSign – تم تنبيه خدمة توقيع المستندات إلى ملف خرق البيانات مما يؤثر على معلوماتهم بعد أن قام جهة تهديد غير معلنة باختراق أنظمتها.
أدركت Dropbox لأول مرة أن شخصًا ما قد حصل على وصول غير مصرح به إلى بيئة إنتاج Dropbox Sign في 24 أبريل – مما يشير إلى أنه ربما كان لديه حق الوصول قبل ذلك. وبعد إجراء مزيد من التحقيقات، وجدت أنه تم الوصول إلى بيانات العملاء بما في ذلك عناوين البريد الإلكتروني وأسماء المستخدمين وأرقام الهواتف وكلمات المرور المجزأة، بالإضافة إلى بعض معلومات المصادقة بما في ذلك مفاتيح واجهة برمجة التطبيقات (API)., رموز OAuth و المصادقة متعددة العوامل (وزارة الخارجية).
بالإضافة إلى ذلك، تم الكشف عن عناوين البريد الإلكتروني والأسماء الخاصة بعدد من الأشخاص الذين تلقوا مستندًا أو وقعوا عليه من خلال Dropbox Sign ولكنهم لم ينشئوا حسابًا مطلقًا. ومع ذلك، فإن أولئك الذين أنشأوا حسابًا ولكن لم يقوموا بإعداد كلمة مرور – على سبيل المثال، قاموا بالتسجيل من خلال حساب Google – لم يتم تخزين كلمة المرور أو الكشف عنها.
وقالت Dropbox إنها لم تجد أي دليل على الوصول إلى محتويات حسابات العملاء أو معلومات الدفع، كما أنها لم تجد أنه تم الوصول إلى أي من منتجاتها الأخرى. علامة دروببوإكس, التي تم الحصول عليها في عام 2019، لا يزال يعمل على بنية تحتية منفصلة.
تتواصل الشركة الآن مع المستخدمين المتأثرين لتزويدهم بمزيد من المعلومات والتعليمات، وقد أجرى فريق الأمان التابع لها عملية إعادة تعيين كلمة المرور القسرية وقام بتسجيل خروج المستخدمين من أي أجهزة كانوا متصلين بها بـ Dropbox Sign. وهو يعمل حاليًا على تدوير كافة مفاتيح واجهة برمجة التطبيقات (API) ورموز OAuth المميزة.
وقالت المنظمة: “عندما علمنا بهذه المشكلة، أطلقنا تحقيقًا مع محققي الطب الشرعي الرائدين في الصناعة لفهم ما حدث وتخفيف المخاطر التي يتعرض لها مستخدمونا”. في مشاركة مدونة مرفق بإشعار الإفصاح الصادر عن هيئة الأوراق المالية والبورصات (SEC).
وتابعت: “بناءً على تحقيقاتنا، تمكن طرف ثالث من الوصول إلى أداة تكوين النظام الآلي لـ Dropbox Sign”. “قام الممثل باختراق حساب الخدمة الذي كان جزءًا من الواجهة الخلفية لـ Sign، وهو نوع من الحسابات غير البشرية المستخدمة لتنفيذ التطبيقات وتشغيل الخدمات الآلية. على هذا النحو، يتمتع هذا الحساب بامتيازات اتخاذ مجموعة متنوعة من الإجراءات داخل بيئة إنتاج Sign. ثم استخدم ممثل التهديد هذا الوصول إلى بيئة الإنتاج للوصول إلى قاعدة بيانات العملاء الخاصة بنا.
“في Dropbox، قيمتنا الأولى هي أن نكون جديرين بالثقة. نحن نلتزم بمعايير عالية عند حماية عملائنا ومحتواهم. لم نرق إلى مستوى هذا المعيار هنا، ونحن نأسف بشدة للتأثير الذي سببه ذلك لعملائنا.”
تشرع Dropbox الآن في “مراجعة موسعة” لفهم ما حدث بالضبط وكيف وكيف تحمي نفسها بشكل أفضل في المستقبل.
النزاهة360 وقال باتريك وراج، رئيس الاستجابة للحوادث، إن مستخدمي Dropbox Sign قد يعتقدون أنهم حظوا بالفرار لأن كلمات المرور التي تم الوصول إليها كانت مجزأة، ولكن نظرًا لاختراق مفاتيح API وبيانات المصادقة الأخرى، لا يزال هناك سبب للقلق.
قال: “خذ مفاتيح واجهة برمجة التطبيقات (API) ورموز OAuth المميزة، على سبيل المثال”. “يمكن القول إن هذه أسوأ من كلمة المرور لأنها تسمح بالوصول القابل للبرمجة والبرمجة إلى المالك بصندوق الإسقاط مثال. في معظم الحالات، يتم إنشاء مفاتيح واجهة برمجة التطبيقات (API) ورموز OAuth المميزة تحت ذريعة الامتيازات حيث يتم استخدامها لأغراض البرمجة النصية.
“لذلك، يمكن لممثل التهديد فقط استخدام المفاتيح/الرموز المميزة للوصول إلى البيانات بصندوق الإسقاط حساب بدون اسم مستخدم وكلمة مرور وحتى MFA.
سوكورا وقال آندي كايز، الرئيس التنفيذي: “يبدو أن هذه حالة كلاسيكية للانتهاك من خلال الاستحواذ. عندما تشتري شركة كبيرة شركة أصغر، فقد يؤدي ذلك إلى مخاطر أمنية كبيرة. السيناريوهات الأكثر شيوعًا هي أن الشركة المستحوذ عليها لديها نقاط ضعف، أو قدرات أمنية محدودة، أو أن هناك مشكلات في التوافق أثناء دمج المنتجات والتقنيات والخدمات والفرق. وتشير حقيقة أن منتج Dropbox Sign فقط هو الذي تم اختراقه – وليس العمل على نطاق أوسع – إلى وجود فجوة أمنية إما في منتج HelloSign وقت الشراء، أو تطورت بمرور الوقت مع قيام الشركة بتغيير علامته التجارية وإعادة تسميتها.
وقال: “إن وصول الخصوم إلى المستندات الحساسة وخدمة التوقيع يوفر مجالًا هائلاً لإساءة الاستخدام وسرقة الهوية والاحتيال وتسوية البريد الإلكتروني التجاري”. “يجب على مستخدمي Dropbox التصرف كما لو أن المهاجم لديه توقيعه والقدرة على توقيع المستندات القانونية باسمه. يجب عليهم تغيير كلمات المرور الخاصة بهم وتمكين MFA على الفور.
