Dropbox Sign, de digitale handtekeningdienst van Dropbox, is het slachtoffer geworden van een hack. Bij deze aanval zijn volgens de online storagespecialist verschillende soorten persoonlijke data en authenticatiegegevens van eindgebruikers buitgemaakt, maar ook API keys, OAuth tokens en data voor multi-factorauthenticatie.
Volgens Dropbox is op 24 april ontdekt dat cybercriminelen toegang hebben gekregen tot diverse gegevens van alle gebruikers van Dropbox Sign. Ook van gebruikers die via deze digitale handtekeningdienst een document hebben ontvangen, maar geen account hebben.
De cybercriminelen kregen tijdens de aanval toegang tot een geautomatiseerde configuratietool voor de dienst. Deze toegang kregen ze via een gecompromitteerd automatisch, (dus niet-menselijk service account) dat onderdeel was van de back-endomgeving van Dropbox Sign. Dit account wordt gebruikt voor het draaien van applicaties en geautomatiseerde diensten.
Het account beschikte vanwege deze functionaliteit over diverse privileges voor acties binnen de Dropbox Sign-productieomgeving. Op deze manier konden de cybercriminelen makkelijk toegang krijgen tot die omgeving en de daaronder vallende klantendatabase.
Persoonlijke data buitgemaakt
Bij de aanval werd uiteindelijk persoonlijke data van eindgebruikers, waaronder e-mails, gebruiksnamen en algemene accountinstellingen buitgemaakt. Voor een klein deel van de eindgebruikers wisten de cybercriminelen ook hashed wachtwoorden en telefoonnummers te stelen.
Daarnaast kregen zij authenticatiegegevens in handen als API keys, OAuth tokens en data voor multi-factorauthenticatie. De hackers kregen volgens Dropbox geen toegang tot de persoonlijke content binnen accounts of financiële informatie.
Verder geeft het bedrijf aan dat de infrastructuur van Dropbox Sign grotendeels gescheiden is van de overige infrastructuur van het bedrijf. Daardoor wordt verwacht dat de geslaagde cyberaanval tot de digitale handtekeningomgeving beperkt blijft.
Maatregelen genomen
Dropbox zegt de aanval op zijn systemen uiterst serieus te nemen en heeft de betreffende dataprotectie-autoriteiten op de hoogte gebracht. Als oplossing zijn alle wachtwoorden van eindgebruikers gereset en zijn gebruikers automatisch uitgelogd bij Dropbox Sign op alle devices die met de dienst waren verbonden. Verder zorgt Dropbox ervoor dat er een rotatie plaatsvindt van alle API keys en OAuth tokens.
Tenslotte wordt verder onderzocht hoe het incident heeft kunnen plaatsvinden. Met de conclusies van dit onderzoek zal Dropbox zijn digitale handtekeningdienst aanpassen om herhaling te voorkomen.
Lees ook: Cybercriminelen stelen 130 GitHub repositories via Dropbox-account