Povreda sigurnosti Dropbox Signa izlaže e-mail adrese, hashirane lozinke i MFA podatke

Što se dogodilo u povredi sigurnosti Dropbox Signa

Dropbox je objavio značajan sigurnosni incident koji pogađa njegovu uslugu Dropbox Sign, platformu za elektronički potpis koju koriste pojedinci i tvrtke za pravno valjano slanje i potpisivanje dokumenata online. Zlonamjerni akter dobio je neovlašteni pristup produkcijskom okruženju platforme — živoj infrastrukturi koja obrađuje stvarne korisničke podatke — i ponio sa sobom širok raspon osjetljivih informacija.

Izloženi podaci uključuju e-mail adrese, telefonske brojeve, hashirane lozinke i pojedinosti o višefaktorskoj autentifikaciji (MFA). Ta posljednja kategorija posebno je značajna. Izlaganje MFA postavki i tokena uređaja znači da napadači možda imaju više od same vaše lozinke s čime mogu raditi. Dropbox je počeo obavještavati pogođene korisnike i poziva ih da odmah resetiraju svoje podatke za prijavu.

Istraga je u tijeku i puni opseg povrede još nije javno potvrđen.

Zašto izlaganje MFA podataka čini ovu povredu ozbiljnijom

Većina povreda podataka slijedi poznati obrazac: izlože se e-mail adresa i hashirana lozinka, napadač pokuša probiti hash ili iskoristiti podatke za prijavu na drugim servisima, i računi padnu. Ova povreda ide korak dalje.

Kada su ugroženi konfiguracijski podaci MFA-a, napadači potencijalno dobivaju uvid u to kako je postavljen drugi faktor žrtve. Ovisno o tome što je pohranjeno i na koji način, to bi moglo olakšati zaobilaženje ili društveno inženjerstvo oko tog drugog sloja zaštite. To također znači da samo mijenjanje lozinke možda nije dovoljno. Ako je vaša aplikacija za autentifikaciju povezana s tokenom uređaja koji je bio izložen, sigurnosni lanac ima slaba karika koja se mora u potpunosti zamijeniti.

Hashirane lozinke, iako nisu odmah čitljive, nisu nužno sigurne. Slabe ili višestruko korištene lozinke mogu se probiti pomoću rječničkih napada ili rainbow tablica. Ako je vaša lozinka za Dropbox Sign bila kratka, uobičajena ili dijeljena s drugom uslugom, treba je sada tretirati kao kompromitiranu.

Što to znači za vas

Ako imate račun na Dropbox Signu, najsigurnije je pretpostaviti da su vaša e-mail adresa i hash lozinke u rukama nekoga tko ih ne bi trebao imati. Evo što biste trebali učiniti:

Odmah resetirajte svoju lozinku za Dropbox Sign. Koristite jaku, jedinstvenu lozinku koju niste koristili nigdje drugdje. Upravitelj lozinkama to čini jednostavnim i uklanja iskušenje ponovnog korištenja podataka za prijavu.

Ponovno se registrirajte za MFA. Ne ostavljajte samo svoju postojeću MFA postavku netaknutom. Budući da su konfiguracijski podaci MFA-a bili dio povrede, razborito je onemogućiti trenutnu MFA postavku, a zatim je iznova postaviti. Ako koristite dvofaktorsku autentifikaciju putem SMS-a, razmislite o prelasku na aplikaciju za autentifikaciju, koja je općenito otpornija na presretanje.

Provjerite ponovnu upotrebu podataka za prijavu. Ako se ista lozinka koju ste koristili za Dropbox Sign pojavljuje bilo gdje drugdje, promijenite je i na tim servisima. Punjenje vjerodajnicama — gdje napadači uzimaju jedan kompromitiran skup podataka za prijavu i isprobavaju ga na desetcima drugih platformi — jedan je od najčešćih i najučinkovitijih naknadnih napada nakon ovakve povrede.

Pratite svoje račune radi neobičnih aktivnosti. Pazite na e-mailove za resetiranje lozinke koje niste zatražili, nepoznate obavijesti o prijavi ili bilo kakvu aktivnost računa koja izgleda neobično. To je posebno važno za e-mail račune, koji mogu poslužiti kao ulazna točka za resetiranje lozinki svugdje drugdje.

Koristite VPN na nepouzdanim mrežama. Kada resetirate podatke za prijavu ili se ponovo prijavljujete u servise, čineći to putem pouzdane, šifrirane veze smanjuje rizik od presretanja vaših novih podataka. Javni Wi-Fi i dijeljene mreže nisu mjesto za upravljanje oporavkom računa.

Višeslojna obrana nije izborna

Povreda Dropbox Signa podsjetnik je da nijedna pojedinačna sigurnosna mjera sama po sebi nije dovoljna. Hashirane lozinke bolje su od lozinki u čistom tekstu, ali nisu neprobojanе. MFA je bolji od same lozinke, ali nije neprobojан kada su sami konfiguracijski podaci izloženi. Cilj višeslojne obrane je osigurati da kada jedan sloj zakaže, drugi još uvijek stoje.

Za svakodnevne korisnike, to znači kombiniranje jakih jedinstvenih lozinki, robusnog MFA-a, opreznih mrežnih navika i redovitog praćenja u rutinu, a ne reakciju. Povrede će se nastaviti događati. Organizacije kojima povjeravate svoje podatke ponekad neće uspjeti zaštititi ih. Ono što možete kontrolirati jest koliko štete jedan kompromitiran račun može nanijeti prije nego što ga primijetite.

Počnite s osnovama: promijenite pogođene lozinke, osvježite svoju MFA registraciju i procijenite gdje biste još mogli biti ponovno koristili iste podatke za prijavu. Ta tri koraka stavit će vas ispred većine rizika koje ova povreda stvara.