Технологическая компания Dropbox сообщила о случившемся инциденте безопасности, затронувшем службу цифровой подписи Dropbox Sign. Злоумышленник смог получить доступ к среде продакшн Sign, захватив управление автоматизированным инструментом с широкими привилегиями, включая доступ к базе данных пользователей.
В ответ на произошедшее Dropbox уведомил пострадавших о раскрытии личной информации, такой как электронные адреса, номера телефонов и пароли для входа в систему. Компания начала расследование после обнаружения несанкционированного доступа 24 апреля.
В опубликованном заявлении Dropbox детализировал украденные чувствительные данные, включая электронные адреса, имена пользователей, номера телефонов и хеши паролей. Кроме того, пострадали такие элементы, как настройки учетных записей, ключи API, токены OAuth и двухфакторная аутентификация.
Утечка безопасности также затронула пользователей, у которых не было учетной записи в службе, но они использовали ее для подписания электронных документов. Dropbox отреагировал на инцидент сбросом паролей, завершением активных сессий на различных устройствах и поворотом ключей API и токенов OAuth в качестве предупредительной меры.
