שירות האחסון המקוון Dropbox מזהיר את לקוחותיו מפני פריצת מידע אשר התבצעה על ידי פושעי סייבר אשר השיגו גישה לפרטי כניסה של לקוחות (שמות משתמשים וסיסמאות) וכן, לנתוני אימות של אחד מהשירותים מבוססי הענן של Dropbox. פריצת המידע התרחשה כאשר השיג משתמש בלתי מורשה גישה לסביבת הייצור של Dropbox Sign (לשעבר HelloSign) שהינו שירות מקוון לחתימה על חוזים ואחסונם: הסכמי סודיות, טפסי מס ומסמכים אחרים המשתמשים בחתימות אלקטרוניות מחייבות משפטית.
למעשה השיגו פושעי הסייבר גישה לכלי תצורת מערכת אוטומטי של Dropbox Sign, תוך פגיעה בחשבון שירות המשמש להפעלת אפליקציות והפעלת שירותים אוטומטיים מפאנל הניהול של Sign: "ככזה, לחשבון זה היו הרשאות לבצע מגוון פעולות בתוך סביבת הייצור של Sign", הסביר צוות Dropbox Sign והוסיף: "פושעי הסייבר השתמשו בגישה זו לסביבת הייצור כדי לגשת למסד הנתונים של הלקוחות שלנו".
המידע שדלף בפריצה כולל פרטי לקוחות של Dropbox Sign: מיילים, שמות משתמשים, מספרי טלפון וסיסמאות מוצפנות. יתרה מכך, כל מי שקיבל או חתם על מסמך דרך Dropbox Sign אך מעולם לא יצר חשבון – כתובות האימייל ושמו נחשפו בפריצת המידע.
פושעי הסייבר השיגו גישה גם לנתונים מהשירות עצמו, כמו מפתחות ה- API של Dropbox Sign, אסימוני OAuth ופרטי אימות רב גורמי – MFA. אלו הם כל הנתונים המשמשים שותפי צד שלישי כדי להתחבר לשירות ולהציע אינטגרציה לשירותים המקוונים שלהם. לפיכך, משתמשים בשירותים אחרים עלולים להיות מושפעים בעקיפין מפריצת המידע ומדלף המידע.
חברת Dropbox לא מצאה ראיות לכך שפושעי סייבר ניגשו לתוכן בחשבונות לקוחות, כגון מסמכים או הסכמים שנחתמו באמצעות השירות וגם לא לפרטי תשלום של לקוחות. יתרה מכך, מכיוון שהתשתית של Dropbox Sign נפרדת במידה רבה משירותי Dropbox אחרים, דיווחה החברה שאף אחת מהישויות האחרות שלה לא הושפעה מדלף המידע. ברגע שגילתה Dropbox את פריצת המידע, היא הפעילה חוקרי זיהוי פלילי כדי לרדת לעומק האירוע וכרגע החקירה נמשכת. Dropbox גם נמצאת בתהליך של יצירת קשר עם כל המשתמשים שהושפעו מהאירוע ותספק הוראות שלב אחר שלב כיצד להמשיך להגן על המידע שלהם.
כצעד ראשון להקטנת השפעות פריצת המידע, איפס צוות האבטחה של Dropbox את סיסמאות המשתמשים, ניתק את המשתמשים מכל המכשירים שחוברו ל- Dropbox Sign ותיאם רוטציה של כל מפתחות ה- API ואסימוני ה- OAuth עבור השירות. מנקודת המבט של המשתמש – כל משתמשי Dropbox Sign יתבקשו לאפס את הסיסמאות שלהם בפעם הבאה שהם יתחברו לשירות. לקוחות API יצטרכו ליצור מפתח חדש אשר יצטרך להיות מוגדר עם האפליקציה האישית שלהם, יחד עם מחיקת מפתח ה- API הנוכחי.
על לקוחות המשתמשים באפליקציית אימות יחד עם Dropbox Sign for MFA לאפס אותו על ידי מחיקת הערך הקיים אצלם ורק לאחר מכן להמשיך באיפוס. מי שמשתמש ב- SMS עבור MFA לא צריך לנקוט בפעולה. יתר על כן, אם מישהו עשה שימוש חוזר בסיסמת Dropbox Sign שלו בשירותים אחרים כלשהם, Dropbox ממליצה לשנות את הסיסמה ולהשתמש ב- MFA.
Dropbox תמשיך בסקירה מקיפה של האירוע כדי להבין בדיוק מה קרה וכדי להגן על לקוחותיה מפני איומים דומים בעתיד, אמרה החברה והוסיפה את נכונותה לעזור לכל לקוח שהושפע מפריצת המידע ומדלף המידע.
