Dropbox meldt dat een hacker ongeoorloofd toegang heeft gehad tot systemen voor het programma Sign, het voormalige HelloSign. De aanvallers hadden toegang tot diverse persoonsgegevens, maar niet tot handtekeningen. Getroffenen worden via een e-mail ingelicht.
Het bedrijf schrijft dat de cyberaanval op 24 april plaatsvond, waarbij hackers toegang kregen tot de ‘productieomgeving’ van Dropbox Sign. Via een geautomatiseerde systeemconfiguratietool verkreeg de derde partij met een gecompromitteerd ‘niet-menselijk account’ toegang tot de backend van het programma.
Afhankelijk van hoe gebruikers interactie met Dropbox Sign hadden, kunnen er verschillende persoonsgegevens zijn buitgemaakt. Zo was er van gebruikers zonder een account toegang tot hun e-mailadressen en namen. Bij gebruikers met een account was er tevens mogelijk ongeoorloofde toegang tot telefoonnummers, gehashte wachtwoorden, api-keys en authenticatietokens. Dropbox benadrukt dat het puur gaat om accountinformatie, niet om inhoud die via deze accounts in Sign is gemaakt, waaronder dus bijvoorbeeld digitale handtekeningen en documenten.
Het bedrijf heeft wachtwoorden automatisch gereset en verzoekt api-klanten om nieuwe api-keys te genereren. Ook moeten gebruikers die multifactorauthenticatie gebruiken, deze functie resetten.
Leave a Reply
You must be logged in to post a comment.