Dropbox هي واحدة من أكثر أدوات التخزين السحابي والتعاون شيوعًا. لسوء الحظ، سرق المتسللون الكثير من بيانات المستخدمين من Dropbox Sign، ومن المحتمل أن تتأثر الخدمات الأخرى للشركة.
قالت شركة Dropbox في ملف نموذج 8-K إنها أصبحت على علم بالوصول غير المصرح به إلى Dropbox Sign، خدمة الشركة لإرسال وتوقيع العقود الرقمية، في 24 أبريل 2024. واكتشفت Dropbox أن المتسلل قد تمكن من الوصول إلى رسائل البريد الإلكتروني وأسماء المستخدمين لمستخدمي Dropbox Sign، بالإضافة إلى “أرقام الهواتف وكلمات المرور المشفرة وبعض معلومات المصادقة مثل مفاتيح API ورموز OAuth والمصادقة متعددة العوامل” لمجموعة فرعية أصغر من المستخدمين.
تعتقد شركة Dropbox أن الهجوم كان مقتصرًا على Dropbox Sign، لكن الشركة لم تستبعد ذلك تمامًا. أوضحت إحدى المدونات: “من منظور فني، فإن البنية الأساسية لـ Dropbox Sign منفصلة إلى حد كبير عن خدمات Dropbox الأخرى. ومع ذلك، قمنا بالتحقيق بدقة في هذا الخطر ونعتقد أن هذا الحادث كان معزولًا عن البنية الأساسية لـ Dropbox Sign، ولم يؤثر على أي منتجات Dropbox أخرى”.
تمكن المهاجم من الوصول إلى النظام من خلال حساب خدمة كان جزءًا من البنية التحتية الخلفية لـ Dropbox Sign، والذي كان يتمتع بأذونات عالية وإمكانية الوصول إلى قاعدة بيانات العملاء. بعد اكتشاف الهجوم، أعادت Dropbox تعيين جميع كلمات المرور المتأثرة وسجّلت خروج جميع المستخدمين. كما بدأت الشركة في تحديث جميع مفاتيح API ورموز OAuth التي سُرقت في الهجوم.
تعد خروقات البيانات أمرًا شائعًا، لذا فليس من المستغرب أن تتعرض Dropbox للاختراق، لكنها لا تصل دائمًا إلى أرقام الهاتف والمصادقة متعددة العوامل. فقد سُرق أكثر من 15000 حساب Roku مؤخرًا، لأنها استخدمت نفس كلمات المرور الخاصة بالحسابات الأخرى التي سُرقت في خروقات بيانات أخرى، مما دفع Roku إلى تشغيل المصادقة ثنائية العوامل لجميع حساباتها. كما تعرضت Comcast لاختراق كبير للبيانات العام الماضي أثر على ما يصل إلى 36 مليون عميل.
وقالت شركة Dropbox في منشور على مدونتها: “لقد عملنا على مدار الساعة للتخفيف من المخاطر التي يتعرض لها عملاؤنا، ونحن بصدد التواصل مع جميع المستخدمين المتأثرين بهذا الحادث والذين يحتاجون إلى اتخاذ إجراءات، مع تعليمات خطوة بخطوة حول كيفية حماية بياناتهم بشكل أكبر”.
مصدر: هيئة الأوراق المالية والبورصات, مدونة دروبوكس عبر السجل