Der Cloud-Speicheranbieter Dropbox hat gerade darüber informiert, dass er Opfer eines erfolgreichen Hacks geworden ist. Der oder die Angreifer konnten in die eSignatur-Plattform DropBox Sign eindringen sind. Durch diesen Hack erhielten sie Zugriff auf Authentifizierungs-Tokens, MFA-Schlüssel, gehashten Passwörtern und Kundendaten.
Anzeige
1ST1 hat hier auf diesen Sachverhalt hingewiesen (danke dafür) – Dropbox hat die Details in diesem Post offen gelegt. Das Unternehmen stellte am 24. April 2024 einen unbefugten Zugriff auf seine Produktionsumgebung von Dropbox Sign (ehemals HelloSign) fest. Bei weiteren Untersuchungen wurde klar, dass ein Bedrohungsakteur auf Dropbox Sign-Kundendaten zugegriffen hatte.
Die bisherigen Analysen ergaben, dass der Bedrohungsakteur auf Dropbox Sign-Kundendaten wie E-Mails, Benutzernamen, Telefonnummern und gehashte Passwörter sowie allgemeine Kontoeinstellungen und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Tokens und Multi-Faktor-Authentifizierung zugegriffen hat.
Für Benutzer, die ein Dokument über Dropbox Sign erhalten oder unterzeichnet haben, aber nie ein Konto erstellten, wurden auch E-Mail-Adressen und Namen offengelegt. Wer ein Dropbox Sign- oder HelloSign-Konto erstellt, aber kein Passwort (z. B. "Mit Google anmelden") bei Dropbox eingerichtet hat, für den wurde natürlich auch kein Passwort gespeichert oder offengelegt. Bei der Analyse des Vorfalls haben die Forensiker keine Hinweise auf einen unbefugten Zugriff auf den Inhalt der Kundenkonten (d. h. die entsprechenden Dokumente oder Verträge) oder Zahlungsinformationen gefunden.
Aus technischer Sicht ist die Infrastruktur von Dropbox Sign weitgehend von den anderen Dropbox-Diensten getrennt. In seiner Mitteilung teilt Dropbox daher mit, dass man glaubt, dass dieser Vorfall auf die Dropbox Sign-Infrastruktur beschränkt war und keine anderen Dropbox-Produkte betroffen waren.
Anzeige
Das Unternehmen ist derzeit dabei, alle Nutzer, die von diesem Vorfall betroffen sind und Maßnahmen ergreifen müssen, mit einer Schritt-für-Schritt-Anleitung zu kontaktieren, die offen legt, wie die Betroffenen ihre Daten weiter schützen können. Das Dropbox Sicherheitsteam hat außerdem die Kennwörter der Nutzer zurückgesetzt, sowie die Nutzer von allen Geräten abgemeldet, die dieser mit Dropbox Sign verbunden hatten. Weiterhin koordiniert das Sicherheitsteam die Rotation aller API-Schlüssel und OAuth-Tokens, schreibt Dropbox. Weitere Details lassen sich in einer FAQ in diesem Post nachlesen.
Anzeige
Geht in die C(K)loud(t), sagten sie – ist sicher…
Der Bevölkerungsanteil (global, nicht nur in D) mit echter Bio-Intelligenz strebt gegen Null, ist ein sehr sehr sehr kleiner Prozentsatz … sonst müsste die Welt insgesamt eine ganz andere sein !
Da ist ein kleiner Schnitzer im Anreißer: "Der oder die Angreifer konnten in die eSignatur-Plattform DropBox Sign eindringen sind"
Der Angriff ist noch aktiv und läuft weiter bzw. dessen Auswirkungen halten bis heute an.