Bir bilgisayar korsanı, Dropbox’ın dijital imza ürünü Dropbox Sign’ı ihlal ederek e-postalar, kullanıcı adları ve telefon numaraları dahil olmak üzere kullanıcı bilgilerine erişti. 1 Mayıs tarihli bir blog yazısında Dropbox Sign ekibi, ihlalin 24 Nisan’da gerçekleştiğini ve daha önce HelloSign olarak bilinen ürünün tüm kullanıcılarını etkilediğini açıkladı.
Dropbox Sign güvenlik sorunu yaşadı
Açığa çıkan veriler arasında e-posta adresleri, kullanıcı adları, telefon numaraları, karma şifreler ve API anahtarları, OAuth belirteçleri ve çok faktörlü kimlik doğrulama yöntemleri dahil olmak üzere kimlik doğrulama ayrıntıları yer alıyor. Ancak ekip, bilgisayar korsanının, kullanıcıların Dropbox Sign hesaplarındaki sözleşmeler veya ödeme bilgileri gibi içeriklere eriştiğine dair hiçbir kanıt bulunmadığını ve ihlalin diğer Dropbox hizmetlerini etkilemediğini söyledi.
Microsoft hesap sahipleri, bunları geçen yıl Windows 11’de etkinleştirdikten sonra artık Windows, Android ve iOS‘ta da geçiş anahtarları oluşturabiliyor. Bu, her seferinde parola yazmak zorunda kalmadan bir Microsoft hesabında oturum açmayı zahmetsiz hale…
Dropbox: “Bu olaydan etkilenen ve harekete geçmesi gereken tüm kullanıcılara, verilerini nasıl daha fazla koruyacaklarına dair adım adım talimatlarla ulaşma sürecindeyiz. Güvenlik ekibimiz ayrıca kullanıcıların şifrelerini sıfırlıyor, kullanıcıların Dropbox Sign’a bağladıkları tüm cihazlardaki oturumlarını kapatıyor ve tüm API anahtarlarının ve OAuth belirteçlerinin rotasyonunu koordine ediyor” dedi. Saldırı ayrıca Dropbox Sign aracılığıyla bir belge alan veya imzalayan ancak hiçbir zaman hesap oluşturmayan kişilerin adlarını ve e-posta adreslerini de açığa çıkardı. Hesap oluşturan ancak örneğin “Google’a kaydol” seçeneğini kullanarak bir Dropbox şifresi ayarlamayanları etkilemedi.
Dropbox, müşterilerin belgelerine, sözleşmelerine veya ödeme bilgilerine yetkisiz erişime dair hiçbir kanıt bulamadığını söyledi. Bir kullanıcının Dropbox hesabı bir Dropbox Sign hesabına bağlı olsa bile başka hiçbir Dropbox ürünü siber saldırıdan etkilenmedi.
Şirketin güvenlik ekibi, kullanıcıların şifrelerini sıfırladı, Dropbox Sign’a bağlı tüm cihazlardan kullanıcıların çıkışını yaptı ve bu olayı veri koruma düzenleyicilerine ve kolluk kuvvetlerine bildirdi.
