Datalekken

Dropbox Sign-inbreuk legt e-mails, gehashte wachtwoorden en MFA-gegevens bloot

1 mei 20264 min leestijd

By James Okafor — CIPP/E-gecertificeerd, specialist in digitale rechten en privacywetgeving

Dropbox Sign-inbreuk legt e-mails, gehashte wachtwoorden en MFA-gegevens bloot

Wat er is gebeurd bij de Dropbox Sign-inbreuk

Dropbox heeft een ernstig beveiligingsincident bekendgemaakt dat zijn Dropbox Sign-dienst treft, een e-handtekeningplatform dat door particulieren en bedrijven wordt gebruikt om documenten online juridisch geldig te versturen en te ondertekenen. Een dreigingsactor heeft ongeautoriseerde toegang verkregen tot de productieomgeving van het platform — de live infrastructuur die echte gebruikersgegevens verwerkt — en is vandoor gegaan met een breed scala aan gevoelige informatie.

De blootgestelde gegevens omvatten e-mailadressen, telefoonnummers, gehashte wachtwoorden en details over multi-factor authenticatie (MFA). Die laatste categorie is bijzonder opmerkelijk. Het feit dat MFA-instellingen en apparaattokens zijn blootgesteld, betekent dat aanvallers mogelijk meer hebben dan alleen uw wachtwoord om mee te werken. Dropbox is begonnen met het informeren van getroffen gebruikers en dringt er bij hen op aan hun inloggegevens onmiddellijk te resetten.

Het onderzoek is nog gaande en de volledige omvang van de inbreuk is nog niet publiekelijk bevestigd.

Waarom de blootstelling van MFA-gegevens deze inbreuk ernstiger maakt

De meeste datalekken volgen een bekend patroon: e-mail en gehashte wachtwoorden worden blootgesteld, de aanvaller probeert de hash te kraken of de inloggegevens bij andere diensten in te voeren, en accounts vallen. Deze inbreuk gaat een stap verder.

Wanneer MFA-configuratiegegevens worden gecompromitteerd, krijgen aanvallers mogelijk inzicht in hoe de tweede factor van een slachtoffer is ingesteld. Afhankelijk van wat er is opgeslagen en hoe, kan dit het gemakkelijker maken om die tweede beveiligingslaag te omzeilen of er via social engineering omheen te werken. Het betekent ook dat het simpelweg wijzigen van uw wachtwoord mogelijk niet voldoende is. Als uw authenticator-app is gekoppeld aan een apparaattoken dat is blootgesteld, heeft de beveiligingsketen een zwakke schakel die volledig vervangen moet worden.

Gehashte wachtwoorden zijn weliswaar niet onmiddellijk leesbaar, maar zijn ook niet per se veilig. Zwakke of hergebruikte wachtwoorden kunnen worden gekraakt met behulp van woordenboekaanvallen of rainbow tables. Als uw Dropbox Sign-wachtwoord kort, veelgebruikt of gedeeld was met een andere dienst, moet het nu als gecompromitteerd worden beschouwd.

Wat dit voor u betekent

Als u een Dropbox Sign-account heeft, is de veiligste aanname dat uw e-mailadres en wachtwoordhash in handen zijn van iemand die ze niet zou mogen hebben. Dit is wat u moet doen:

Reset uw Dropbox Sign-wachtwoord onmiddellijk. Gebruik een sterk, uniek wachtwoord dat u nergens anders heeft gebruikt. Een wachtwoordbeheerder maakt dit eenvoudig en neemt de verleiding weg om inloggegevens te hergebruiken.

Schrijf u opnieuw in voor MFA. Laat uw bestaande MFA-instelling niet gewoon staan. Omdat MFA-configuratiegegevens deel uitmaakten van de inbreuk, is het verstandig om uw huidige MFA-instelling uit te schakelen en deze vervolgens opnieuw in te stellen. Als u op sms gebaseerde tweefactorauthenticatie gebruikt, overweeg dan over te stappen op een authenticator-app, die over het algemeen beter bestand is tegen onderschepping.

Controleer op hergebruik van inloggegevens. Als hetzelfde wachtwoord dat u voor Dropbox Sign gebruikte ergens anders voorkomt, wijzig het dan ook bij die diensten. Credential stuffing — waarbij aanvallers één set gecompromitteerde inloggegevens nemen en deze uitproberen op tientallen andere platforms — is een van de meest voorkomende en effectieve vervolgaanvallen na een inbreuk als deze.

Houd uw accounts in de gaten op ongebruikelijke activiteit. Let op wachtwoordresetemails die u niet heeft aangevraagd, onbekende inlogmeldingen of accountactiviteit die er vreemd uitziet. Dit is met name belangrijk voor e-mailaccounts, die kunnen worden gebruikt als toegangspoort om wachtwoorden van al het andere te resetten.

Gebruik een VPN op niet-vertrouwde netwerken. Wanneer u inloggegevens reset of opnieuw inlogt bij diensten, vermindert dit via een vertrouwde, versleutelde verbinding het risico dat uw nieuwe inloggegevens worden onderschept. Openbare wifi en gedeelde netwerken zijn niet de plek om accountherstel af te handelen.

Gelaagde beveiliging is geen optie

De Dropbox Sign-inbreuk is een herinnering dat geen enkele beveiligingsmaatregel op zichzelf voldoende is. Gehashte wachtwoorden zijn beter dan platte tekst, maar zijn niet onkraakbaar. MFA is beter dan alleen een wachtwoord, maar is niet ondoordringbaar wanneer de configuratiegegevens zelf zijn blootgesteld. Het doel van gelaagde beveiliging is ervoor te zorgen dat wanneer één laag faalt, andere nog overeind staan.

Voor gewone gebruikers betekent dit het combineren van sterke unieke wachtwoorden, robuuste MFA, voorzichtige netwerkgewoonten en regelmatige monitoring tot een routine in plaats van een reactie. Inbreuken zullen blijven plaatsvinden. Organisaties die u vertrouwt met uw gegevens, zullen ze soms niet goed beschermen. Wat u kunt beheersen, is hoeveel schade één gecompromitteerd account kan aanrichten voordat u het ontdekt.

Begin met de basis: wijzig getroffen wachtwoorden, vernieuw uw MFA-inschrijving en breng in kaart waar u elders dezelfde inloggegevens mogelijk heeft hergebruikt. Die drie stappen zetten u voor op het grootste deel van het risico dat deze inbreuk met zich meebrengt.

// FAQ

Welke soorten gegevens zijn blootgesteld bij de Dropbox Sign-inbreuk?

De inbreuk heeft e-mailadressen, telefoonnummers, gehashte wachtwoorden en details over multi-factor authenticatie (MFA) blootgesteld, waaronder apparaattokens. Dropbox is begonnen met het informeren van getroffen gebruikers en dringt er bij hen op aan hun inloggegevens onmiddellijk te resetten.

Waarom is de blootstelling van MFA-gegevens bijzonder zorgwekkend?

Gecompromitteerde MFA-configuratiegegevens kunnen aanvallers inzicht geven in hoe de tweede factor van een slachtoffer is ingesteld, waardoor het mogelijk gemakkelijker wordt om die beveiligingslaag te omzeilen. Dit betekent dat het simpelweg wijzigen van uw wachtwoord mogelijk niet voldoende is om uw account volledig te beveiligen.

Zijn gehashte wachtwoorden veilig voor aanvallers?

Gehashte wachtwoorden zijn niet onmiddellijk leesbaar, maar zijn niet per se veilig, omdat zwakke of hergebruikte wachtwoorden kunnen worden gekraakt met behulp van woordenboekaanvallen of rainbow tables. Elk kort, veelgebruikt of hergebruikt Dropbox Sign-wachtwoord moet als gecompromitteerd worden beschouwd.

Wat moeten Dropbox Sign-gebruikers doen als reactie op deze inbreuk?

Gebruikers moeten onmiddellijk hun Dropbox Sign-wachtwoord resetten met een sterk, uniek wachtwoord, zich opnieuw inschrijven voor MFA in plaats van de bestaande instelling te laten staan, en hun wachtwoord wijzigen bij alle andere diensten waar dezelfde inloggegevens werden hergebruikt.

Heeft Dropbox de volledige omvang van de inbreuk bevestigd?

Nee, het onderzoek is nog gaande en de volledige omvang van de inbreuk is nog niet publiekelijk bevestigd. Dropbox heeft het incident bekendgemaakt en begonnen met het informeren van getroffen gebruikers, maar volledige details zijn nog in afwachting.

Wat er is gebeurd bij de Dropbox Sign-inbreuk

Waarom de blootstelling van MFA-gegevens deze inbreuk ernstiger maakt

Wat dit voor u betekent

Gelaagde beveiliging is geen optie

// FAQ

// Gerelateerd