Digitale Signatur: Datenleak bei Dropbox Sign
Unbekannte Angreifer konnten auf Kundendaten des digitalen Signaturservices Dropbox Sign zugreifen. Andere Dropbox-Produkte sollen nicht betroffen sein.
Unbefugte konnten sich Zugriff auf interne Server von Dropbox Sign (ehemals HelloSign) verschaffen und unter anderem E-Mail-Adressen und Passwörter von Kunden einsehen.
Der Vorfall
Über Dropbox Sign kann man Dokumente rechtskräftig digital unterschreiben. Einem Blogbeitrag zufolge hat Dropbox den Sicherheitsvorfall am 24. April 2024 entdeckt. Eigenen Angaben zufolge ist der Signierungsservice von anderen Dropbox-Produkten abgeschottet. Dementsprechend gehen die Betreiber derzeit davon aus, dass keine anderen Dropbox-Produkte involviert sind. Demzufolge sollten von Kunden in der Dropbox-Cloud gespeicherte Daten von der Attacke nicht betroffen sein.
Die Verantwortlichen geben an, dass es Zugriffe auf API-Schlüssel, E-Mail-Adressen, Multi-Faktor-Informationen, Namen, OAuth Tokens, Passwörter und Telefonnummern von Kunden gegeben hat. Die Kennwörter sollen aber nicht unverschlüsselt, sondern als Hash vorliegen. Demzufolge sollten Angreifer damit nicht ohne Weiteres etwas anfangen können. Welches Hashverfahren zum Einsatz kam, ist derzeit nicht bekannt. Zugriffe auf Bezahldaten habe es nach jetzigem Kenntnisstand nicht gegeben.
Davon sollen auch Nutzer betroffen sein, die gar keinen Dropbox-Sign-Account haben, in der Vergangenheit aber vom Service signierte Dokumente erhalten haben.
HintergrĂĽnde
Dropbox gibt an, dass die Angreifer auf einem nicht näher beschriebenen Weg Zugriff auf ein Konfigurationstool bekommen und so die Kontrolle über einen Service-Account erlangt haben. In dieser Position waren dann weitreichende Systemzugriffe möglich. Die Verantwortlichen geben an, aus Sicherheitsgründen unter anderem Dropbox-Sign-Passwörter zurückgesetzt zu haben.
(des)