Công ty lưu trữ đám mây Dropbox vừa xác nhận rằng tin tặc đã xâm nhập vào hệ thống nền tảng chữ ký điện tử (eSignature) Dropbox Sign và truy cập mã xác thực, khóa MFA, mật khẩu băm và thông tin khách hàng.
Dropbox Sign (tên trước đây là HelloSign) là một nền tảng eSignature cho phép khách hàng gửi tài liệu trực tuyến để nhận chữ ký có giá trị pháp lý. Công ty này cho biết họ đã tổ chức điều tra khi phát hiện các truy cập bất hợp pháp vào hệ thống Dropbox Sign vào ngày 24 tháng Tư.
Kết quả cho thấy tin tặc đã truy cập vào một công cụ cấu hình hệ thống tự động của Dropbox Sign. Đây vốn là một thành phần của hệ thống đứng sau (backend) của nền tảng.
Công cụ cấu hình này cho phép tin tặc chạy ứng dụng và dịch vụ tự động với đặc quyền. Do đó kẻ tấn công có thể truy cập vào cơ sở dữ liệu khách hàng.
Dropbox cảnh báo "Sau khi điều tra thêm, chúng tôi phát hiện ra rằng kẻ tấn công đã truy cập vào thông tin khách hàng của Dropbox Sign như email, tên người dùng, số điện thoại và mật khẩu băm. Ngoài ra cài đặt tài khoản chung và một số thông tin xác thực như khóa API, mã OAuth và xác thực đa yếu tố cũng bị ảnh hưởng."
Đối với những người dùng đã sử dụng nền tảng này nhưng chưa đăng ký tài khoản, địa chỉ email và tên của họ cũng bị lộ.
Dropbox cho biết họ không tìm thấy dấu hiệu nào cho thấy tin tặc đã truy cập vào tài liệu hoặc hợp đồng của khách hàng hay truy cập vào các dịch vụ Dropbox khác.
Dropbox cho biết họ đã đặt lại mật khẩu cho tất cả người dùng, thoát tất cả các phiên đăng nhập trên Dropbox Sign và hạn chế việc sử dụng các khóa API cho đến khi chúng được khách hàng thay mới. Công ty đã cung cấp thêm thông tin trong một thông báo bảo mật về cách xoay vòng khóa API để một lần nữa nhận được toàn quyền truy cập dịch vụ.
Những người dùng xác thực đa yếu tố (MFA) với Dropbox Sign nên xóa cấu hình hiện tại khỏi ứng dụng xác thực của họ và thiết lập lại bằng một khóa MFA mới lấy từ trang web.
Dropbox cho biết họ đang gửi email cho tất cả khách hàng bị ảnh hưởng bởi sự cố.
Hiện tại, khách hàng của Dropbox Sign nên cảnh giác với các lừa đảo sử dụng dữ liệu này để thu thập thông tin nhạy cảm, chẳng hạn như mật khẩu dạng văn bản.
Nếu bạn nhận được email từ Dropbox Sign yêu cầu đặt lại mật khẩu, đừng nhấp vào bất kỳ đường link nào trong email. Thay vào đó, hãy truy cập trực tiếp trang web Dropbox Sign và đặt lại mật khẩu ở đó.
Năm 2022, Dropbox cũng đã phát hiện một vụ tấn công mạng khi tin tặc đánh cắp 130 mã nguồn phần mềm bằng cách truy nhập vào tài khoản GitHub của công ty với thông tin đăng nhập bị đánh cắp của nhân viên.
Theo BleepingComputer.