Sign, der Dropbox Service für rechtsgültige elektronische Signaturen auf Verträgen und ähnlichem muss einen Cyberangriff melden. Gestohlen wurden E-Mail-Adressen, Benutzernamen, Telefonnummern, gehashte Passwörter, sowie allgemeine Kontoeinstellungen. Mit dabei: Authentifizierungsinformationen wie API-Schlüssel, OAuth-Token und Multi-Faktor-Authentifizierung.
Gerade viele Unternehmen setzen auf den Service von Dropbox Sign für rechtsgültige elektronische Signaturen, wie sie etwa für Verträge gebraucht werden. Der aktuelle Hack ist ein schwerer Angriff auf die vorhandenen Daten und auch von Dropbox genutzte Authentifizierungsinformationen. Der Vorgang ist so schwerwiegend, dass Dropbox bei Nutzern nicht nur das Passwort gesperrt hat und einen neues fordert, sondern auch die 2-Faktor-Authentifizierung zurückgesetzt hat und damit auch bereits alle verknüpften Geräte.
Angreifer erbeuten Daten, Zugänge und Tokens
Am 24. April wurde unerlaubt auf die Produktionsumgebung von Dropbox Sign zugegriffen. Bei weiteren Untersuchungen stellte Dropbox fest, dass ein Bedrohungsakteur auf Daten zugegriffen hatte, darunter Kundeninformationen von Dropbox Sign wie E-Mail-Adressen, Benutzernamen, Telefonnummern und gehashte Passwörter, sowie allgemeine Kontoeinstellungen und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Token und Multi-Faktor-Authentifizierung.
Von Kunden, die ein Dokument eines Unternehmens über Dropbox Sign erhalten oder unterzeichnet haben, aber nie ein Konto erstellt haben, wurden auch E-Mail-Adressen und Namen offengelegt. Dropbox kann aber keine Hinweise dazu finden, dass ein Zugriff auf die Inhalte der Kundenkonten, also ihre Dokumente oder Vereinbarungen oder ihre Zahlungsinformationen stattgefunden gefunden.
Technisch soll die die Infrastruktur von Dropbox Sign weitgehend von anderen Dropbox-Diensten getrennt sein. Dennoch hat Dropbox das Risiko untersucht und ist davon überzeugt, dass dieser Vorfall auf die Infrastruktur von Dropbox Sign beschränkt.
Unerlaubter Zugriff via Systemkonfigurationstool
Laut einer forensischen Untersuchung hat sich ein Angreifer Zugriff auf ein automatisiertes Systemkonfigurationstool von Dropbox Sign verschafft und kompromittierte ein Servicekonto, das Teil des Backends von Sign war. Dabei handelt es sich um eine Art nicht-menschliches Konto, das zum Ausführen von Anwendungen und zum Ausführen automatisierter Dienste verwendet wird. Daher verfügte dieses Konto über die Berechtigung, eine Reihe von Aktionen in der Produktionsumgebung von Sign durchzuführen. Der Bedrohungsakteur nutzte diesen Zugriff auf die Produktionsumgebung dann, um auf unsere Kundendatenbank zuzugreifen.
Da der Angriff schwerwiegend war, hat Dropbox recht drastisch reagiert: Das Sicherheitsteam setzte die Passwörter der Benutzer zurück und meldete die Benutzer von allen Geräten ab, die mit Dropbox Sign verbunden waren. Danach rotierte man alle API-Schlüssel und OAuth-Token. Auch Authenticator-Apps zur Multi-Faktor-Authentifizierung müssen somit komplett neu initialisiert werden.
Der Dienst Dropbox soll zwar selbst nicht betroffen sein, aber wer die gleichen Passwörter für die Dienste verwendet, sollte aktiv werden.
Red./sel
Mehr bei Dropbox.com