פריצת אבטחה בשירות החתימה הדיגיטלית של דרופבוקס, Dropbox Sign (לשעבר HelloSign) נחשפה השבוע. על פי הודעה שהעבירה החברה לנציבות ניירות הערך האמריקאית, האקרים פרצו למערכת וככל הנראה הצליחו לגנוב פרטי משתמשים, כולל כתובות דואר אלקטרוני, שמות משתמש והגדרות חשבון כלליות.
בחלק מהמקרים, דיווחה החברה, נחשפו גם פרטים רגישים יותר כמו מספרי טלפון, סיסמאות מוצפנות, אסימונים ואמצעי אימות דו שלבי (2FA). הפריצה נוגעת לכל המשתמשים בשירות, לרבות אנשים שקיבלו באמצעותו מסמכים לחתימה ואינם מחזיקים בחשבון משתמש של דרופבוקס. מנגד, חשוב לומר, לא נגנבו מסמכים או תבניות שנשמרו בחשבון וגם אמצעי תשלום לא נחשפו.
דרופבוקס הודיעה כי מצדה איפסה סיסמאות של משתמשים בשירות, ניתקה אותם מכל המכשירים המחוברים לחשבון וביטלה אישורי גישה ישנים. החברה משתפת פעולה עם רשויות החוק כדי למצוא את האחראים, ועל פי ההודעה לרשות לניירות ערך, החברה לא מאמינה שהפריצה חרגה מגבולות שירות החתימה הדיגיטלית, אולם צריך לסייג כי מדובר באירוע מתגלגל כאשר חלק מהפרטים אינם ידועים עדיין.
לעוד תכנים מעניינים עקבו אחרינו באינסטגרם או בטיקטוק
ב-דרופבוקס מעריכים כי התוקפים השיגו גישה לכלי הגדרת מערכת אוטומטית של השירות, וניצלו לרעה הרשאות גישה רחבות כדי לגשת לבסיס הנתונים. יחד עם זאת, החברה לא ציינה מספר מדויק של כמות המשתמשים שהושפעו, אבל היא פונה לכל המשתמשים שנפגעו, ותספק להם הוראות "צעד אחר צעד" כדי להגן על המידע שלהם.
זהו אירוע אבטחתי שני עבור דרופבוקס בשנתיים האחרונות. בנובמבר 2022, בעזרת מתקפת דיוג, האקרים הצליחו לגשת ל-130 ממאגרי הקוד של החברה ב-GitHub.
נהניתם מהקריאה? שמחים לשמוע.
בכתבה שזה עתה קראתם הושקעו שעות רבות של איסוף מידע, תחקיר, כתיבה, עריכה, גרפיקה, עיצוב, צילום ועריכת וידאו. “החיבור” מופק על ידי שורה של עיתונאים מקצועיים, שבשבילם עיתונות היא שליחות – אבל היא גם פרנסה ואנחנו רוצים לעבוד עבורכם, הקוראים.
התרומה שלכם (בעלות של כוס קפה) מבטיחה את קיומו של “החיבור” כמגזין עצמאי, אובייקטיבי, חופשי מתלות במפרסמים, ותאפשר לנו להביא לכם עוד סיפורים ומידע מעניין ומועיל, כל יום.
