هکرها سرویس امضای الکترونیکی Dropbox Sign را هک کردند که منجر به نشت گسترده اطلاعات شخصی کاربر از جمله نام، شماره تلفن و رمزهای عبور هش شده شد.
Dropbox، توسعه دهنده سرویس محبوب ذخیره سازی فایل های ابری، اعلام کرد که سرویس امضای الکترونیکی اسناد Dropbox Sign، که قبلا با نام HelloSign شناخته می شد، هک شده است. همانطور که در گزارش شده است وبلاگ رسمی اخیراً مهاجمان به زیرساخت داخلی Dropbox Sign دسترسی غیرمجاز پیدا کرده اند. در نتیجه، اطلاعات مربوط به کاربران سرویس از جمله آدرس ایمیل، نام کاربری، شماره تلفن، رمزهای عبور هش شده و همچنین کلیدهای API، نشانههای دسترسی و دادههای احراز هویت چند عاملی به خطر افتاد.
دادههای کاربران (آدرسهای ایمیل و نامها) که فقط اسنادی را از طریق Dropbox Sign دریافت کرده یا امضا کردهاند اما برای یک حساب کاربری ثبت نام نکردهاند نیز افشا شدهاند. اطلاعات پرداخت و محتویات اسناد امضا شده، طبق گفته شرکت، به خطر نیفتاده است.
بر اساس نتایج بررسی ها مشخص شد که مهاجمان یکی از حساب های سرویس مورد استفاده برای مدیریت خودکار زیرساخت ها را هک کرده و از طریق آن به پایگاه داده کاربران Dropbox Sign دسترسی پیدا کرده اند.
در پاسخ به این حادثه، تیم امنیتی Dropbox رمزهای عبور کاربر Dropbox Sign را بازنشانی کرد، نشانههای دسترسی را لغو کرد، چرخش کلید رمزنگاری را آغاز کرد و دستورالعملهایی را برای کسانی که تحت تأثیر قرار گرفتند برای محافظت بیشتر از دادههایشان ارسال کرد.
همانطور که این شرکت اطمینان داد، این حادثه تنها زیرساخت سرویس Dropbox Sign را تحت تأثیر قرار داد و تأثیری بر سایر محصولات و خدمات Dropbox از جمله ذخیره سازی فایل های ابری محبوب نداشت. با این حال، این حادثه سوالات جدی را برای Dropbox ایجاد می کند تا امنیت اطلاعات محرمانه مشتریان خود را تضمین کند. این شرکت قول داده است که تحقیقات کاملی در مورد این حادثه انجام دهد و اقدامات تکمیلی را برای جلوگیری از حوادث مشابه در آینده انجام دهد.
اگر متوجه خطایی شدید، آن را با ماوس انتخاب کرده و CTRL+ENTER را فشار دهید.
منبع: https://3dnews.ru/1104221