اخترق مهاجم إلكتروني غير معروف منصة التوقيع الإلكتروني Dropbox Sign في اختراق يعرض معلومات المستخدمين للخطر.
وقال Dropbox في منشور على مدونة هذا الأسبوع: "تمكن طرف ثالث من الوصول إلى أداة التكوين الآلي لنظام Dropbox Sign". "قام الممثل باختراق حساب خدمة كان جزءًا من الواجهة الخلفية لـ Sign، وهو نوع من الحسابات غير البشرية المستخدمة لتنفيذ التطبيقات وتشغيل الخدمات الآلية. وعلى هذا النحو، كان لهذا الحساب امتيازات لاتخاذ مجموعة متنوعة من الإجراءات ضمن إنتاج Sign بيئة".
قام المهاجم بالوصول إلى قاعدة بيانات عملاء Dropbox Sign التي تحتوي على عناوين البريد الإلكتروني للمستخدمين وأرقام الهواتف وكلمات المرور المجزأة. تحتوي قاعدة البيانات أيضًا على معلومات حول إعدادات حساب المستخدم ومفاتيح API ورموز المصادقة المميزة. تم الكشف عن أسماء وعناوين البريد الإلكتروني لأي شخص تلقى أو أضاف توقيعًا إلى مستند Dropbox Sign، حتى لو لم يكن لديه حساب Sign، في الاختراق.
تدعي Dropbox أنه لم يتم الكشف عن أي مستندات مستخدم أو اتفاقيات أو معلومات دفع للعملاء، وأن أولئك الذين لديهم حسابات Dropbox عادية ولم يستخدموا Sign مطلقًا لن يتأثروا بالانتهاك.
لقد اتخذ Dropbox بالفعل خطوات لإعادة تعيين كلمات مرور جميع مستخدمي Sign وتسجيل خروجهم من جميع جلساتهم وأجهزتهم. وتعمل الشركة أيضًا على تغيير مفاتيح واجهة برمجة التطبيقات ورموز OAuth المميزة، وفقًا للمنشور.
يُنصح مستخدمو Dropbox Sign الذين لديهم تطبيقات المصادقة بإعادة تعيين مصادقة Sign الخاصة بهم عن طريق إزالة الاتصال على التطبيق الخاص بهم، ثم إضافته مرة أخرى. ولا يحتاج أولئك الذين لديهم مصادقة عبر الرسائل النصية القصيرة إلى إعادة ضبطها أو تغييرها، وفقًا للشركة. لكن الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني المكشوفة قد تؤدي إلى محاولات هجوم مستقبلية لتبديل بطاقة SIM.
وتقول Dropbox إنها تخطط لإخطار كل من يتعرض للاختراق "في غضون أسبوع".
وقال Dropbox في منشور على مدونة هذا الأسبوع: "تمكن طرف ثالث من الوصول إلى أداة التكوين الآلي لنظام Dropbox Sign". "قام الممثل باختراق حساب خدمة كان جزءًا من الواجهة الخلفية لـ Sign، وهو نوع من الحسابات غير البشرية المستخدمة لتنفيذ التطبيقات وتشغيل الخدمات الآلية. وعلى هذا النحو، كان لهذا الحساب امتيازات لاتخاذ مجموعة متنوعة من الإجراءات ضمن إنتاج Sign بيئة".
قام المهاجم بالوصول إلى قاعدة بيانات عملاء Dropbox Sign التي تحتوي على عناوين البريد الإلكتروني للمستخدمين وأرقام الهواتف وكلمات المرور المجزأة. تحتوي قاعدة البيانات أيضًا على معلومات حول إعدادات حساب المستخدم ومفاتيح API ورموز المصادقة المميزة. تم الكشف عن أسماء وعناوين البريد الإلكتروني لأي شخص تلقى أو أضاف توقيعًا إلى مستند Dropbox Sign، حتى لو لم يكن لديه حساب Sign، في الاختراق.
تدعي Dropbox أنه لم يتم الكشف عن أي مستندات مستخدم أو اتفاقيات أو معلومات دفع للعملاء، وأن أولئك الذين لديهم حسابات Dropbox عادية ولم يستخدموا Sign مطلقًا لن يتأثروا بالانتهاك.
لقد اتخذ Dropbox بالفعل خطوات لإعادة تعيين كلمات مرور جميع مستخدمي Sign وتسجيل خروجهم من جميع جلساتهم وأجهزتهم. وتعمل الشركة أيضًا على تغيير مفاتيح واجهة برمجة التطبيقات ورموز OAuth المميزة، وفقًا للمنشور.
يُنصح مستخدمو Dropbox Sign الذين لديهم تطبيقات المصادقة بإعادة تعيين مصادقة Sign الخاصة بهم عن طريق إزالة الاتصال على التطبيق الخاص بهم، ثم إضافته مرة أخرى. ولا يحتاج أولئك الذين لديهم مصادقة عبر الرسائل النصية القصيرة إلى إعادة ضبطها أو تغييرها، وفقًا للشركة. لكن الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني المكشوفة قد تؤدي إلى محاولات هجوم مستقبلية لتبديل بطاقة SIM.
وتقول Dropbox إنها تخطط لإخطار كل من يتعرض للاختراق "في غضون أسبوع".
