 |
| (Kredit: T.Schneider/Shutterstock.com) |
"Pihak ketiga mendapatkan akses ke alat konfigurasi sistem otomatis Dropbox Sign," kata Dropbox dalam postingan blog minggu ini. “Aktor tersebut menyusupi akun layanan yang merupakan bagian dari back-end Sign, yang merupakan jenis akun non-manusia yang digunakan untuk menjalankan aplikasi dan menjalankan layanan otomatis. Dengan demikian, akun ini memiliki hak istimewa untuk mengambil berbagai tindakan dalam produksi Sign. lingkungan."
Penyerang mengakses basis data pelanggan Dropbox Sign yang berisi alamat email pengguna, nomor telepon, dan kata sandi hash. Basis data juga memiliki informasi tentang pengaturan akun pengguna, kunci API, dan token autentikasi. Nama dan alamat email siapa pun yang pernah menerima atau menambahkan tanda tangan ke dokumen Dropbox Sign, meskipun mereka tidak memiliki akun Sign, terekspos dalam pelanggaran tersebut.
Dropbox mengklaim bahwa tidak ada dokumen pengguna, perjanjian, atau informasi pembayaran pelanggan yang terungkap, dan mereka yang memiliki akun Dropbox biasa yang tidak pernah menggunakan Sign tidak terkena dampak pelanggaran tersebut.
Dropbox telah mengambil langkah-langkah untuk mengatur ulang kata sandi semua pengguna Sign dan mengeluarkan mereka dari semua sesi dan perangkat mereka. Perusahaan juga berupaya mengubah kunci API dan token OAuth yang disusupi, menurut postingan tersebut.
Pengguna Dropbox Sign dengan aplikasi pengautentikasi disarankan untuk mengatur ulang autentikasi Tanda mereka dengan menghapus koneksi pada aplikasi mereka, lalu menambahkannya lagi. Mereka yang memiliki otentikasi SMS tidak perlu mengatur ulang atau mengubahnya, menurut perusahaan. Namun nama, nomor telepon, dan alamat email yang terekspos dapat mengakibatkan upaya serangan pertukaran SIM di masa depan .
Dropbox mengatakan pihaknya berencana untuk memberi tahu semua orang yang terkena pelanggaran tersebut "dalam waktu seminggu."
Posting Komentar
0Komentar