Dropbox Sign-brud afslører e-mails, hashede adgangskoder og MFA-data

Hvad skete der i Dropbox Sign-bruddet

Dropbox har offentliggjort en alvorlig sikkerhedshændelse, der påvirker deres Dropbox Sign-tjeneste, en e-signaturplatform, som privatpersoner og virksomheder bruger til at sende og underskrive dokumenter lovligt online. En trusselsaktør fik uautoriseret adgang til platformens produktionsmiljø, den aktive infrastruktur, der håndterer rigtige brugerdata, og forsvandt med en bred vifte af følsomme oplysninger.

De eksponerede data inkluderer e-mailadresser, telefonnumre, hashede adgangskoder og detaljer om multifaktorgodkendelse (MFA). Den sidste kategori er særligt bemærkelsesværdig. At MFA-indstillinger og enhedstokens er blevet eksponeret, betyder, at angribere muligvis har mere end blot din adgangskode at arbejde med. Dropbox er begyndt at underrette berørte brugere og opfordrer dem til straks at nulstille deres loginoplysninger.

Efterforskningen er stadig i gang, og brudets fulde omfang er endnu ikke bekræftet offentligt.

Hvorfor MFA-eksponering gør dette brud mere alvorligt

De fleste databrud følger et velkendt mønster: e-mail og hashet adgangskode bliver eksponeret, angriberen forsøger at knække hashen eller prøver loginoplysningerne på andre tjenester, og konti kompromitteres. Dette brud går et skridt videre.

Når MFA-konfigurationsdata kompromitteres, får angribere potentielt indsigt i, hvordan offerets anden faktor er opsat. Afhængigt af hvad der var gemt og hvordan, kan dette gøre det lettere at omgå eller socialt manipulere sig uden om det andet beskyttelseslag. Det betyder også, at blot at ændre din adgangskode muligvis ikke er tilstrækkeligt. Hvis din godkendelsesapp er knyttet til et enhedstoken, der blev eksponeret, har sikkerhedskæden et svagt led, der skal udskiftes fuldstændigt.

Hashede adgangskoder er, selvom de ikke er umiddelbart læsbare, ikke nødvendigvis sikre. Svage eller genbrugte adgangskoder kan knækkes ved hjælp af ordbogsangreb eller rainbow tables. Hvis din Dropbox Sign-adgangskode var kort, almindelig eller delt med en anden tjeneste, bør den betragtes som kompromitteret lige nu.

Hvad dette betyder for dig

Hvis du har en Dropbox Sign-konto, er den sikreste antagelse, at din e-mailadresse og adgangskode-hash er i hænderne på nogen, der ikke burde have dem. Her er, hvad du bør gøre:

Nulstil din Dropbox Sign-adgangskode med det samme. Brug en stærk, unik adgangskode, som du ikke har brugt andre steder. En adgangskodeadministrator gør dette ligetil og fjerner fristelsen til at genbruge loginoplysninger.

Tilmeld dig MFA på ny. Lad ikke din eksisterende MFA-opsætning forblive som den er. Da MFA-konfigurationsdata var en del af bruddet, er det fornuftige at deaktivere din nuværende MFA-opsætning og derefter opsætte den forfra. Hvis du bruger SMS-baseret tofaktorgodkendelse, bør du overveje at skifte til en godkendelsesapp, som generelt er mere modstandsdygtig over for aflytning.

Tjek for genbrug af loginoplysninger. Hvis den samme adgangskode, du brugte til Dropbox Sign, optræder andre steder, skal du også ændre den på disse tjenester. Credential stuffing, hvor angribere tager ét sæt kompromitterede loginoplysninger og afprøver dem på snesevis af andre platforme, er et af de mest almindelige og effektive opfølgningsangreb efter et brud som dette.

Overvåg dine konti for usædvanlig aktivitet. Hold øje med anmodninger om nulstilling af adgangskode, som du ikke selv har igangsat, ukendte loginbeskeder eller enhver kontoaktivitet, der virker mistænkelig. Dette er særligt vigtigt for e-mailkonti, som kan bruges som indgang til at nulstille adgangskoder på alt andet.

Brug en VPN på upålidelige netværk. Når du nulstiller loginoplysninger eller logger ind på tjenester igen, reducerer det risikoen for, at dine nye loginoplysninger bliver opsnappet, hvis du gør det over en betroet, krypteret forbindelse. Offentligt Wi-Fi og delte netværk er ikke stedet til kontogendannelse.

Forsvar i dybden er ikke valgfrit

Dropbox Sign-bruddet er en påmindelse om, at ingen enkelt sikkerhedsforanstaltning er tilstrækkelig i sig selv. Hashede adgangskoder er bedre end klartekst, men de er ikke uknækkelige. MFA er bedre end en adgangskode alene, men det er ikke uigennemtrængeligt, når konfigurationsdataene selv er eksponeret. Målet med forsvar i dybden er at sikre, at når ét lag svigter, er de andre stadig på plads.

For hverdagsbrugere betyder det at kombinere stærke unikke adgangskoder, robust MFA, forsigtige netværksvaner og regelmæssig overvågning til en rutine frem for en reaktion. Databrud vil fortsætte med at ske. Organisationer, du betror dine data til, vil nogle gange fejle i at beskytte dem. Det, du kan kontrollere, er, hvor meget skade en enkelt kompromitteret konto kan forårsage, inden du opdager det.

Start med det grundlæggende: skift berørte adgangskoder, forny din MFA-tilmelding, og gør status over, hvor du ellers måske har genbrugt de samme loginoplysninger. Disse tre trin vil sætte dig foran størstedelen af den risiko, dette brud skaber.