Violação do Dropbox expõe credenciais de clientes e dados de autenticação

Violação do Dropbox expõe credenciais de clientes e dados de autenticação.  O agente da ameaça entrou no ambiente de produção do Dropbox Sign e acessou e-mails, senhas e outras PII, juntamente com APIs, OAuth e informações de MFA.

O serviço de armazenamento online Dropbox está alertando os clientes sobre uma violação de dados por um agente de ameaça que acessou as credenciais do cliente e os dados de autenticação de um de seus serviços baseados em nuvem.

A violação ocorreu quando um usuário não autorizado obteve acesso ao ambiente de produção do Dropbox Sign (antigo HelloSign), algo que os administradores tomaram conhecimento em 24 de abril, de acordo com uma postagem no blog publicada em 1º de maio. , acordos de confidencialidade, formulários fiscais e outros documentos que usam assinaturas eletrônicas juridicamente vinculativas.

Especificamente, o ator obteve acesso a uma ferramenta automatizada de configuração de sistema do Dropbox Sign, comprometendo uma conta de serviço usada para executar aplicativos e executar serviços automatizados como parte do back-end do Sign.

Como tal, esta conta tinha privilégios para realizar uma variedade de ações no ambiente de produção do Sign”, escreveu a equipe do Dropbox Sign na postagem do blog. “O agente da ameaça então usou esse acesso ao ambiente de produção para acessar nosso banco de dados de clientes”.

Credenciais do cliente expostas

Os dados expostos na violação incluem informações de clientes do Dropbox Sign, como e-mails, nomes de usuário, números de telefone e senhas com hash . Além disso, qualquer pessoa que recebeu ou assinou um documento através do Dropbox Sign, mas nunca criou uma conta, teve seus endereços de e-mail e nomes expostos na violação.

O ator da ameaça também acessou dados do próprio serviço, como chaves de API do Dropbox Sign, tokens OAuth e detalhes de autenticação multifator (MFA), de acordo com a postagem. Todos esses dados são usados ​​por parceiros terceirizados para se conectar ao serviço e oferecer integração perfeita de seus respectivos serviços online, com o OAuth em particular sendo usado como arma por agentes de ameaças para comprometimento entre plataformas. Assim, os usuários de outros serviços poderiam ser afetados indiretamente pela violação.

O Dropbox não encontrou nenhuma evidência de que os agentes da ameaça acessaram qualquer conteúdo das contas dos clientes, como documentos ou contratos assinados por meio do serviço, nem qualquer informação de pagamento do cliente. Além disso, como a infraestrutura do Dropbox Sign é amplamente separada de outros serviços do Dropbox, a empresa descobriu que nenhuma de suas outras entidades foi afetada pela violação.

Assim que o Dropbox descobriu a violação, a empresa contratou investigadores forenses para descobrir o que estava acontecendo; essa investigação está em andamento. O Dropbox também está entrando em contato com todos os usuários afetados pelo incidente e fornecerá instruções passo a passo sobre como proteger ainda mais seus dados.

Etapas de mitigação

Como uma mitigação inicial dos efeitos da violação, a equipe de segurança do Dropbox redefiniu as senhas dos usuários, desconectou os usuários de todos os dispositivos que eles conectaram ao Dropbox Sign e está coordenando a rotação de todas as chaves de API e tokens OAuth para o serviço. Do ponto de vista do usuário, todos os usuários do Dropbox Sign serão solicitados a redefinir suas senhas na próxima vez que fizerem login no serviço, disse a empresa.

Os clientes da API precisarão alternar suas chaves de API gerando uma nova; instruções para fazer isso estão online . Essa chave terá então que ser configurada com seu aplicativo individual, juntamente com a exclusão da chave API atual para proteger suas contas, de acordo com o Dropbox.

Como precaução adicional, restringiremos certas funcionalidades das chaves de API enquanto coordenamos a rotação”, de acordo com o post. Como resultado, apenas as solicitações de assinatura e os recursos de assinatura continuarão operacionais até que a chave de API seja rotacionada; só então as restrições serão removidas e o produto continuará funcionando normalmente.

Para clientes que usam um aplicativo autenticador junto com o Dropbox Sign for MFA, eles devem redefini- lo excluindo primeiro a entrada existente e só então prosseguir com a redefinição, disse a empresa. Quem usa SMS para MFA não precisa agir.

Além disso, se alguém reutilizou a senha do Dropbox Sign em qualquer outro serviço, o Dropbox recomenda que a senha seja alterada e que o MFA seja usado sempre que disponível.

O Dropbox continuará uma “extensa revisão” do incidente para entender exatamente o que aconteceu e para proteger seus clientes contra ameaças semelhantes no futuro, disse a empresa, acrescentando sua disposição de ajudar qualquer cliente que tenha sido afetado pela violação.

Por: Elizabeth Montalbano, escritora colaboradora publicado primeiramente em Dark reading

Veja também:

Sobre mindsecblog 2483 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. CISA e FBI incentiva eliminar vulnerabilidades de passagem de diretório
  2. Vulnerabilidade Telefone IP Cisco Permite Ataque DoS
  3. Quishing: uma ameaça crescente

Deixe sua opinião!