Хакеры взломали сервис цифровой подписи Dropbox Sign и получили данные пользователей

Компания Dropbox, разработчик популярного облачного хранилища файлов, заявила о взломе своего сервиса электронной подписи документов Dropbox Sign, ранее известного как HelloSign. Как сообщается в официальном блоге компании, недавно злоумышленники получили несанкционированный доступ к внутренней инфраструктуре Dropbox Sign. В результате была скомпрометирована информация о пользователях сервиса, включая адреса электронной почты, имена пользователей, номера телефонов, хешированные пароли, а также ключи API, токены доступа и данные для многофакторной аутентификации.

Данные пользователей (адреса электронной почты и имена), которые только получали или подписывали документы через Dropbox Sign, но не регистрировали учётную запись, также были раскрыты. Платёжная информация и содержимое подписанных документов, по заявлению компании, скомпрометированы не были.

По результатам расследования стало известно, что злоумышленники взломали одну из служебных учётных записей, используемых для автоматизированного управления инфраструктурой, и через неё получили доступ к базе данных пользователей Dropbox Sign.

В ответ на инцидент команда безопасности Dropbox сбросила пароли пользователей Dropbox Sign, отозвала маркеры доступа и инициировала ротацию криптографических ключей, а пострадавшим были разосланы инструкции по дополнительной защите их данных.

Как заверили в компании, инцидент затронул только инфраструктуру сервиса Dropbox Sign и не повлиял на другие продукты и сервисы Dropbox, включая популярное облачное хранилище файлов. Тем не менее, данный инцидент ставит перед Dropbox серьезный вопрос по обеспечению безопасности конфиденциальных данных своих клиентов. Компания пообещала провести тщательное расследование произошедшего и принять дополнительные меры для предотвращения подобных инцидентов в будущем.

_______________________________

«Никогда такого не было, и вот опять»