Dropbox ist eines der beliebtesten Cloud-Speicher- und Kollaborationstools. Leider haben Hacker gerade viele Benutzerdaten von Dropbox Sign gestohlen, und die anderen Dienste des Unternehmens könnten möglicherweise betroffen sein.
Dropbox gab in einem Formular 8-K an, dass das Unternehmen am 24. April 2024 Kenntnis von einem unbefugten Zugriff auf Dropbox Sign, den Dienst des Unternehmens zum Senden und Unterzeichnen digitaler Verträge, erlangt habe. Dropbox stellte fest, dass der Hacker auf E-Mails und Benutzernamen von Dropbox Sign-Benutzern sowie auf „Telefonnummern, gehashte Passwörter und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Token und Multi-Faktor-Authentifizierung“ einer kleineren Untergruppe von Benutzern zugegriffen hatte.
Dropbox geht davon aus, dass der Angriff auf Dropbox Sign beschränkt war, schließt ihn jedoch nicht völlig aus. In einem Blogbeitrag wurde erklärt: „Aus technischer Sicht ist die Infrastruktur von Dropbox Sign weitgehend von anderen Dropbox-Diensten getrennt. Dennoch haben wir dieses Risiko gründlich untersucht und glauben, dass dieser Vorfall auf die Infrastruktur von Dropbox Sign beschränkt war und keine Auswirkungen auf andere Dropbox-Produkte hatte.“
Der Angreifer verschaffte sich Zugriff über ein Dienstkonto, das Teil der Back-End-Infrastruktur von Dropbox Sign war und über erhöhte Berechtigungen und Zugriff auf die Kundendatenbank verfügte. Nachdem der Angriff entdeckt wurde, setzte Dropbox alle betroffenen Passwörter zurück und meldete alle Benutzer ab. Das Unternehmen hat außerdem damit begonnen, alle API-Schlüssel und OAuth-Tokens zu aktualisieren, die bei dem Angriff gestohlen wurden.
Datenschutzverletzungen kommen häufig vor, daher ist es nicht allzu überraschend, dass Dropbox betroffen war, aber sie reichen nicht immer bis hin zu Telefonnummern und Multi-Faktor-Authentifizierung. Über 15.000 Roku-Konten wurden kürzlich gestohlen, weil sie dieselben Passwörter verwendeten wie andere Konten, die bei anderen Datenschutzverletzungen gestohlen wurden, was Roku dazu veranlasste, die Zwei-Faktor-Authentifizierung für alle seine Konten zu aktivieren. Auch bei Comcast kam es im vergangenen Jahr zu einem erheblichen Datenverstoß, von dem bis zu 36 Millionen Kunden betroffen waren.