Dropbox-Fehler in digitalen Signaturen betrifft alle Nutzer
Dropbox musste einräumen, dass sein Dienst für digitale Signaturen (Dropbox Sign, früher bekannt als HelloSign) von unbekannten Angreifern attackiert wurde. Diese hatten offensichtlich Zugriff auf E-Mails, Benutzernamen und allgemeine Kontoeinstellungen aller Nutzer.
Dropbox hat in einer Mitteilung an die U.S. Securities and Exchange Commission (SEC) bekannt gegeben, dass es am 24. April 2024 einen „unbefugten Zugriff“ auf die Kundendaten des Unternehmens gegeben hat. Den betroffenen Signaturdienst hatte der Anbieter von Cloud-Speicherdiensten mit der Übernahme von HelloSign im Januar 2019 integriert.
In der Einreichung heißt es, dass der Angreifer Zugriff auf Daten aller Nutzer von Dropbox Sign hatte, darunter E-Mails, Benutzernamen und allgemeine Kontoeinstellungen. Bei einer bestimmten Gruppe von Nutzern konnte der Eindringling auch auf Telefonnummern, verschlüsselte Passwörter und spezifische Authentifizierungsinformationen wie API-Schlüssel, OAuth-Tokens und Multi-Faktor-Authentifizierung zugreifen.
Besonders besorgniserregend ist, dass der Angriff auch Dritte betrifft, die ein Dokument über Dropbox Sign erhalten oder unterzeichnet haben, aber selbst nie ein Konto erstellt haben. Dadurch wurden insbesondere ihre Namen und E-Mail-Adressen offengelegt.
Die bisher durchgeführten Untersuchungen haben keine Hinweise darauf ergeben, dass die Angreifer auf die Inhalte der Nutzerkonten, wie Verträge oder Vorlagen, oder auf deren Zahlungsinformationen zugegriffen haben. Der Vorfall soll sich zudem auf die Dropbox Sign-Infrastruktur beschränken.
Es wird angenommen, dass die Angreifer Zugang zu einem automatisierten Systemkonfigurations-Tool von Dropbox Sign erlangt haben. Dabei haben sie ein Dienstkonto, das Teil des Sign-Backends ist, kompromittiert, indem sie die erweiterten Rechte des Kontos ausnutzten, um auf die Kundendatenbank zuzugreifen.
Das Unternehmen hat jedoch nicht bekannt gegeben, wie viele Kunden von diesem Hack betroffen waren. Es sei dabei, alle betroffenen Nutzer zu kontaktieren und diesen eine „Schritt-für-Schritt-Anleitung“ zum Schutz ihrer Daten bereitzustellen.
„Unser Sicherheitsteam hat außerdem die Passwörter der betroffenen Nutzer zurückgesetzt und sie von allen Geräten abgemeldet, die mit Dropbox Sign verbunden waren. Außerdem werden alle API-Schlüssel und OAuth-Tokens rotiert“, heißt es.
Dropbox hat auch mitgeteilt, dass das Unternehmen in dieser Angelegenheit mit Strafverfolgungs- und Regulierungsbehörden zusammenarbeitet. Die weitere Analyse der Sicherheitsverletzung ist noch nicht abgeschlossen.
Der Vorfall ist schon die zweite Sicherheitsverletzung bei Dropbox innerhalb von zwei Jahren. Im November 2022 meldete das Unternehmen, dass es Opfer einer Phishing-Kampagne war, durch die nicht identifizierte Bedrohungsakteure unbefugten Zugriff auf 130 seiner Quellcode-Repositories auf GitHub erlangten.