Получите и распишитесь — взлом Dropbox

http://sign.dropbox.com

1 мая Dropbox сообщил о взломе Dropbox Sign — сервиса для работы с электронной подписью. Злоумышленник добрался до email, номеров телефонов, хешей паролей, API-ключей, OAuth-токенов и даже кодов многофакторной аутентификации. До всего, кроме документов пользователей. Лучше бы наоборот, конечно.

Атакующий дошёл до базы через сервисный аккаунт бота с высокими привилегиями в системе. Dropbox уверяет, что атака не коснулась других её сервисов. Сейчас они активно рассылают пострадавшим письма с инструкциями, сбрасывают пароли, аннулируют куки, меняют ключи и токены.

Эксперты ИБ называют атаку классическим примером взлома через дочернюю компанию: поглощённая Dropbox фирма могла иметь уязвимости и/или проблемы с совместимостью и одновременно доступы к сервисам материнский компании, до которых атакующий добрался.

Это прецедент с колоссальными возможностями для мошенничества, учитывая характер утекшей информации. Вероятно, скоро на киберпреступных площадках увидим, как минимум, предложения подписи документов от имени высокопоставленных сотрудников той или иной компании или госструктуры.

ИМХО:  Вот так огромный централизованный сервис может рухнуть из-за сложностей менеджмента такой махины. Учитывая тенденцию бизнеса к сокрытию масштабов своих утечек, пользователям сервисов Dropbox стоит ожидать таргетированных атак.

Свежее