Únik dat Dropbox Sign odhalil e-maily, hashovaná hesla a data MFA

Co se stalo při úniku dat Dropbox Sign

Dropbox zveřejnil závažný bezpečnostní incident týkající se služby Dropbox Sign, platformy pro elektronické podpisy, kterou jednotlivci i firmy využívají k právně platnému odesílání a podepisování dokumentů online. Útočník získal neoprávněný přístup do produkčního prostředí platformy – živé infrastruktury, která zpracovává skutečná uživatelská data – a odnesl si širokou škálu citlivých informací.

Mezi uniklá data patří e-mailové adresy, telefonní čísla, hashovaná hesla a podrobnosti o vícefaktorovém ověřování (MFA). Poslední kategorie je obzvláště pozoruhodná. Odhalení nastavení MFA a tokenů zařízení znamená, že útočníci mohou mít k dispozici víc než jen vaše heslo. Dropbox začal informovat dotčené uživatele a vyzývá je, aby si okamžitě resetovali přihlašovací údaje.

Vyšetřování stále probíhá a plný rozsah úniku dosud nebyl veřejně potvrzen.

Proč odhalení MFA činí tento únik závažnějším

Většina úniků dat sleduje známý vzorec: odhalí se e-mail a hashované heslo, útočník se pokusí hash prolomit nebo přihlašovací údaje použít na jiných službách a účty padají. Tento únik jde o krok dál.

Pokud jsou kompromitována konfigurační data MFA, útočníci potenciálně získají přehled o tom, jak je nastavena druhá vrstva ověřování oběti. V závislosti na tom, co bylo uloženo a jakým způsobem, by to mohlo usnadnit obejití nebo sociální manipulaci kolem této druhé vrstvy ochrany. Znamená to také, že pouhá změna hesla nemusí stačit. Pokud je vaše ověřovací aplikace propojena s tokenem zařízení, který byl odcizen, má bezpečnostní řetězec slabý článek, který je třeba zcela nahradit.

Hashovaná hesla sice nejsou okamžitě čitelná, ale nejsou nutně v bezpečí. Slabá nebo opakovaně používaná hesla lze prolomit pomocí slovníkových útoků nebo duhových tabulek. Pokud bylo vaše heslo k Dropbox Sign krátké, běžné nebo sdílené s jinou službou, měli byste ho nyní považovat za kompromitované.

Co to znamená pro vás

Pokud máte účet Dropbox Sign, nejbezpečnějším předpokladem je, že vaše e-mailová adresa a hash hesla jsou v rukou někoho, kdo by je mít neměl. Zde je návod, co byste měli udělat:

Okamžitě resetujte heslo k Dropbox Sign. Použijte silné, jedinečné heslo, které jste nikde jinde nepoužili. Správce hesel to zjednodušuje a odstraňuje pokušení znovu používat stejné přihlašovací údaje.

Znovu se zaregistrujte k MFA. Nenechávejte stávající nastavení MFA v platnosti. Protože konfigurační data MFA byla součástí úniku, obezřetným krokem je deaktivovat současné nastavení MFA a poté ho znovu nastavit od začátku. Pokud používáte dvoufaktorové ověřování prostřednictvím SMS, zvažte přechod na ověřovací aplikaci, která je obecně odolnější vůči zachycení.

Zkontrolujte opakované použití přihlašovacích údajů. Pokud se stejné heslo, které jste používali pro Dropbox Sign, objevuje i jinde, změňte ho i na těchto službách. Credential stuffing – kdy útočníci vezmou jeden uniklý soubor přihlašovacích údajů a vyzkouší ho na desítkách dalších platforem – je jedním z nejčastějších a nejúčinnějších následných útoků po takovémto úniku.

Sledujte své účty, zda nevykazují neobvyklou aktivitu. Dávejte pozor na e-maily pro reset hesla, které jste si nevyžádali, na neznámá oznámení o přihlášení nebo jakoukoli aktivitu na účtu, která vypadá podezřele. To je obzvláště důležité u e-mailových účtů, které mohou sloužit jako brána pro resetování hesel ke všemu ostatnímu.

Používejte VPN v nedůvěryhodných sítích. Při resetování přihlašovacích údajů nebo opětovném přihlašování ke službám prostřednictvím důvěryhodného, šifrovaného připojení se snižuje riziko zachycení nových přihlašovacích údajů. Veřejné Wi-Fi a sdílené sítě nejsou vhodným místem pro obnovu účtu.

Vícevrstvá obrana není volitelná

Únik dat Dropbox Sign připomíná, že žádné jednotlivé bezpečnostní opatření samo o sobě nestačí. Hashovaná hesla jsou lepší než hesla v prostém textu, ale nejsou neprolomitelná. MFA je lepší než samotné heslo, ale není neproniknutelné, pokud jsou odhalena samotná konfigurační data. Cílem vícevrstvé obrany je zajistit, aby když selže jedna vrstva, ostatní stále držely.

Pro běžné uživatele to znamená kombinovat silná jedinečná hesla, robustní MFA, opatrné síťové návyky a pravidelné sledování jako rutinu, nikoli jako reakci. Úniky dat budou i nadále pokračovat. Organizace, kterým svěřujete svá data, je někdy nedokážou ochránit. To, co můžete ovlivnit, je, kolik škody může jeden kompromitovaný účet způsobit, než ho odhalíte.

Začněte základy: změňte dotčená hesla, obnovte registraci MFA a zjistěte, kde jinde jste mohli použít stejné přihlašovací údaje. Tyto tři kroky vás dostanou před většinu rizik, která tento únik představuje.