Компания Dropbox объявила о нарушении безопасности на своей платформе Dropbox Sign, предназначенной для сохранения, отправки и подписания документов в цифровом формате.
Хакеры получили доступ к различным данным, включая аутентификационные токены, данные для многофакторной аутентификации, зашифрованные пароли и информацию о клиентах: их электронные адреса, имена и телефоны. Даже пользователи, не создававшие аккаунт, были затронуты, и их контактные данные были скомпрометированы.
Однако Dropbox уточняет, что злоумышленники не получили доступ к документам или платежной информации клиентов, поскольку системы Dropbox Sign работают независимо от других сервисов компании. В ответ на инцидент, Dropbox приняла ряд мер, включая сброс паролей и ограничение использования API-ключей, а также предупреждение клиентов о возможном риске фишинговых атак.
Хакеры, по данным Dropbox, смогли получить доступ только к данным одного из подразделений компании, но были сброшены пароли всех клиентов. Кроме того, были приняты меры по выводу пользователей из всех устройств, подключенных к Dropbox Sign.
Компания также подчеркивает, что нарушение затронуло исключительно инфраструктуру Dropbox Sign и не затронуло другие продукты компании. Для пользователей, использующих Dropbox Sign без создания учетной записи, украдены только адреса электронной почты и имена.
Этот инцидент напоминает о необходимости использования уникальных и сложных паролей, а также внедрения дополнительных методов аутентификации, таких как двухфакторная аутентификация, для обеспечения безопасности аккаунтов.
Автор: Михайлов Анатолий