Dropbox предупреждает о взломе Dropbox Sign

Компания Dropbox рассказала о взломе сервиса электронных подписей Dropbox Sign. Что это значит для пользователей, и что следует предпринять?

Взломан сервис электронных подписей Dropbox Sign

Компания Dropbox опубликовала в своем блоге результаты расследования взлома в инфраструктуре. Авторы ограничиваются сообщением о том, что атака была замечена сотрудниками компании 24 апреля, не уточняя, когда именно произошел инцидент. Рассказываем, что произошло, какие данные были украдены и как следует защищаться от последствий инцидента.

Взлом Dropbox Sign: как это случилось и что в итоге утекло

Неким злоумышленникам удалось скомпрометировать сервисную учетную запись Dropbox Sign и таким образом получить доступ к внутреннему инструменту автоматической настройки платформы. Используя этот доступ, взломщики смогли наложить руку на базу данных, в которой содержалась информация о пользователях Dropbox Sign.

В итоге были украдены следующие данные зарегистрированных пользователей сервиса Sign:

  • имена учетных записей;
  • адреса электронной почты;
  • номера телефонов;
  • пароли (в хешированном виде);
  • ключи аутентификации в API Dropbox Sign;
  • токены аутентификации OAuth;
  • токены двухфакторной аутентификации с помощью SMS или приложения.

Если пользователи сервиса взаимодействовали с ним без создания аккаунта, то из их данных утекли только имена и адреса электронной почты.

В Dropbox утверждают, что не обнаружили признаков несанкционированного доступа к содержимому пользовательских аккаунтов, то есть документам и соглашениям, а также платежной информации.

В качестве защитной меры в Dropbox сбросили пароли для всех аккаунтов Dropbox Sign и завершили все активные сессии — так что в сервис придется логиниться заново, в процессе устанавливая новый пароль.

Касается ли взлом Dropbox Sign всех пользователей Dropbox?

Dropbox Sign, ранее известный как HelloSign, — это отдельный инструмент Dropbox для облачного документооборота, в первую очередь для подписания электронных документов. Ближайшие аналоги этого сервиса — DocuSign и Adobe Sign.

Как подчеркивает компания в своем заявлении, инфраструктура Dropbox Sign «в значительной степени отделена от других сервисов Dropbox». Судя по результатам расследования, проведенного компанией, взлом Dropbox Sign был изолированным инцидентом и не затронул другие продукты Dropbox.

Таким образом, по имеющимся данным взлом Dropbox Sign никак не угрожает пользователям основного сервиса компании, то есть собственно облачного файлового хранилища Dropbox. Это справедливо в том числе для тех пользователей, у которых учетная запись в Sign была привязана к основному аккаунту Dropbox.

Что следует сделать в связи со взломом Dropbox Sign?

В Dropbox уже сбросили пароли для всех аккаунтов Dropbox Sign. Так что поменять пароль в любом случае придется. Рекомендуем использовать полностью новый пароль, а не слегка модифицированную версию старого. В идеале стоит сгенерировать длинную случайную комбинацию символов с помощью менеджера паролей и сохранить ее в нем же.

Поскольку помимо паролей были украдены токены двухфакторной аутентификации, следует также сбросить и их. Если вы пользовались SMS, то сброс произошел автоматически. А если вы пользуетесь приложением, то это придется сделать самостоятельно. Для этого пройдите заново процедуру регистрации вашего приложения-аутентификатора в сервисе Dropbox Sign.

Также в список украденного взломщиками входят ключи аутентификации в API Dropbox Sign. Так что если ваша компания использовала данный инструмент через API, то надо заново сгенерировать ключ.

Наконец, если вы использовали тот же пароль в каких-то других сервисах — особенно в сочетании с тем же самым именем пользователя, адресом электронной почты или номером телефона, с которым регистрировались в Dropbox Sign — то следует как можно быстрее поменять пароль и в этих сервисах. Опять-таки, для этого удобно использовать менеджер паролей, который, кстати, входит в состав нашего защитного решения для малого бизнеса.

Советы