A támadást egy szabályozói bejelentésben részletezték, amely a Dropbox Sign-t érintette. A támadó a Dropbox Sign összes felhasználójára vonatkozó adatokhoz, például e-mailekhez és felhasználónevekhez, valamint az általános fiókbeállításokhoz is hozzáférhetett.
A felhasználók egy részénél telefonszámokhoz, zanzásított jelszavakhoz és bizonyos hitelesítési információkhoz, például API-kulcsokhoz, OAuth-tokenekhez és többfaktoros hitelesítéshez is hozzájuthatott a kiberbűnöző.
A vállalat nem talált bizonyítékot arra, hogy a támadó hozzáfért a felhasználók fiókjainak tartalmához – például a szerződéseikhez vagy sablonjaikhoz, illetve a fizetési adataikhoz –, mindez azért jó hír, mert
az alkalmazás valószínűleg kereskedelmi titkokat rejtő szerződések kezelésére is használható
Egy másik pozitívum, hogy a Dropbox szerint a többi termék működését nem befolyásolta a támadás, hiszen a Dropbox Sign infrastruktúrája nagyrészt elkülönül a többi Dropbox-szolgáltatástól - írják a blogbejegyzésben.
A cég a vizsgálat alapján úgy véli, egy harmadik fél hozzáférést szerzett az alkalmazás automatizált rendszerkonfigurációs eszközéhez, így sikerült bejutni a rendszerbe.
Címlapkép forrása: Shutterstock