Хакеры украли почти все данные пользователей сервиса цифровой подписи Dropbox Sign

Хакеры взломали сервис электронной подписи Dropbox Sign — в результате произошла масштабная утечка личных данных пользователей, в том числе имена, номера телефонов и хешированные пароли.

Источник изображения: Kandinsky

Компания Dropbox, разработчик популярного облачного хранилища файлов, заявила о взломе своего сервиса электронной подписи документов Dropbox Sign, ранее известного как HelloSign. Как сообщается в официальном блоге компании, недавно злоумышленники получили несанкционированный доступ к внутренней инфраструктуре Dropbox Sign. В результате была скомпрометирована информация о пользователях сервиса, включая адреса электронной почты, имена пользователей, номера телефонов, хешированные пароли, а также ключи API, токены доступа и данные для многофакторной аутентификации.

Данные пользователей (адреса электронной почты и имена), которые только получали или подписывали документы через Dropbox Sign, но не регистрировали учётную запись, также были раскрыты. Платёжная информация и содержимое подписанных документов, по заявлению компании, скомпрометированы не были.

По результатам расследования стало известно, что злоумышленники взломали одну из служебных учётных записей, используемых для автоматизированного управления инфраструктурой, и через неё получили доступ к базе данных пользователей Dropbox Sign.

В ответ на инцидент команда безопасности Dropbox сбросила пароли пользователей Dropbox Sign, отозвала маркеры доступа и инициировала ротацию криптографических ключей, а пострадавшим были разосланы инструкции по дополнительной защите их данных.

Как заверили в компании, инцидент затронул только инфраструктуру сервиса Dropbox Sign и не повлиял на другие продукты и сервисы Dropbox, включая популярное облачное хранилище файлов. Тем не менее, данный инцидент ставит перед Dropbox серьезный вопрос по обеспечению безопасности конфиденциальных данных своих клиентов. Компания пообещала провести тщательное расследование произошедшего и принять дополнительные меры для предотвращения подобных инцидентов в будущем.