Dropbox در مورد نقض علامت Dropbox هشدار می دهد

Dropbox در مورد نقض علامت Dropbox هشدار می دهد

Dropbox گزارشی درباره نقض اطلاعات در سرویس امضای الکترونیکی Dropbox Sign به اشتراک گذاشته است. این برای کاربران چه معنایی دارد و آنها باید چه کار کنند؟

Dropbox نتایج تحقیقات در مورد هک زیرساخت خود را به اشتراک گذاشته است. این شرکت مشخص نمی‌کند که این حادثه واقعاً چه زمانی رخ داده است، و فقط بیان می‌کند که این حمله در 24 آوریل توسط کارکنان شرکت مورد توجه قرار گرفته است. در اینجا، توضیح می‌دهیم که چه اتفاقی افتاده است، چه داده‌هایی به بیرون درز کرده است، و چگونه از خود و شرکتتان در برابر عواقب محافظت کنید.

هک Dropbox Sign: چگونه اتفاق افتاد و چه اطلاعاتی به سرقت رفت؟

مهاجمان ناشناس توانسته اند حساب سرویس Dropbox Sign را به خطر بیاندازند و در نتیجه به مکانیزم پیکربندی خودکار داخلی پلت فرم دسترسی پیدا کنند. با استفاده از این دسترسی، هکرها توانستند دست خود را بر روی پایگاه داده ای بگذارند که حاوی اطلاعاتی درباره کاربران Dropbox Sign است.

در نتیجه، داده های زیر از کاربران ثبت نام شده سرویس Sign به سرقت رفت:

  • نام های کاربری؛
  • آدرس ایمیل؛
  • شماره تلفن ها؛
  • رمزهای عبور (هش شده)؛
  • کلیدهای احراز هویت برای DropBox Sign API.
  • نشانه های احراز هویت OAuth؛
  • پیامک و توکن های احراز هویت دو مرحله ای برنامه.

اگر کاربران سرویس بدون ایجاد حساب کاربری با آن تعامل داشته باشند، تنها نام و آدرس ایمیل آنها فاش شده است.

Dropbox ادعا می کند که هیچ نشانه ای از دسترسی غیرمجاز به محتویات حساب های کاربری، یعنی اسناد و توافق نامه ها و همچنین اطلاعات پرداخت پیدا نکرده است.

به عنوان یک اقدام محافظتی، Dropbox رمزهای عبور همه حساب‌های Dropbox Sign را بازنشانی کرد و تمام جلسات فعال را پایان داد، بنابراین باید دوباره وارد سرویس شوید و رمز عبور جدیدی تنظیم کنید.

آیا هک Dropbox Sign بر همه کاربران دراپ باکس تأثیر می گذارد؟

Dropbox Sign که قبلاً به عنوان HelloSign شناخته می شد، ابزار گردش کار سند ابری مستقل Dropbox است که عمدتاً برای امضای اسناد الکترونیکی استفاده می شود. نزدیک ترین آنالوگ های این سرویس DocuSign و Adobe Sign هستند.

همانطور که این شرکت در بیانیه خود تاکید می کند، زیرساخت Dropbox Sign “تا حد زیادی از سایر خدمات Dropbox جدا است”. با قضاوت بر اساس نتایج تحقیقات شرکت، هک Dropbox Sign یک اتفاق مجزا بود و بر سایر محصولات Dropbox تأثیری نداشت. بنابراین، طبق اطلاعاتی که اکنون در اختیار داریم، به هیچ وجه کاربران سرویس اصلی این شرکت، یعنی ذخیره‌سازی فایل ابری Dropbox را تهدید نمی‌کند. این همچنین برای آن دسته از کاربرانی که حساب Sign آنها به حساب Dropbox اصلی آنها مرتبط شده است نیز صادق است.

در مورد هک شدن Dropbox Sign چه باید کرد؟

Dropbox قبلاً گذرواژه‌های همه حساب‌های Dropbox Sign را بازنشانی کرده است. بنابراین در هر صورت باید رمز عبور را تغییر دهید. توصیه می کنیم از یک رمز عبور کاملاً جدید به جای یک نسخه کمی اصلاح شده قدیمی استفاده کنید. در حالت ایده آل، شما باید یک ترکیب تصادفی طولانی از کاراکترها را با استفاده از مدیریت رمز عبور ایجاد کرده و آن را در آنجا ذخیره کنید.

از آنجایی که توکن‌های احراز هویت دو مرحله‌ای نیز به سرقت رفته‌اند، باید آن‌ها را نیز بازنشانی کنید. اگر از پیامک استفاده کرده اید، بازنشانی به طور خودکار انجام می شود. و اگر از برنامه ای استفاده کرده اید، باید خودتان آن را انجام دهید. برای انجام این کار، دوباره مراحل ثبت برنامه احراز هویت خود را در سرویس Dropbox Sign انجام دهید.

لیست داده های سرقت شده توسط هکرها همچنین شامل کلیدهای احراز هویت برای Dropbox Sign API است. بنابراین اگر شرکت شما از این ابزار از طریق API استفاده کرده است، باید یک کلید جدید ایجاد کنید.

در نهایت، اگر از همان رمز عبور در هر سرویس دیگری استفاده کرده‌اید، باید در اسرع وقت آن را تغییر دهید – به خصوص اگر با همان نام کاربری، آدرس ایمیل یا شماره تلفنی که هنگام ثبت نام در Dropbox Sign مشخص کرده‌اید، همراه باشد.

ترجمه:
پیشگامان تجارت امن ایرانیان

پیام بگذارید

آدرس ایمیل شما منتشر نخواهد شد.