Naruszenia danych

Naruszenie Dropbox Sign ujawnia adresy e-mail, zahashowane hasła i dane MFA

1 maja 20264 min czytania

By James Okafor — Specjalista z certyfikatem CIPP/E, specjalizujący się w prawach cyfrowych i prawie prywatności

Naruszenie Dropbox Sign ujawnia adresy e-mail, zahashowane hasła i dane MFA

Co się wydarzyło w przypadku naruszenia Dropbox Sign

Dropbox ujawnił poważny incydent bezpieczeństwa dotyczący usługi Dropbox Sign — platformy do podpisu elektronicznego, wykorzystywanej przez osoby prywatne i firmy do prawnego wysyłania i podpisywania dokumentów online. Nieznany sprawca uzyskał nieuprawniony dostęp do środowiska produkcyjnego platformy — działającej infrastruktury obsługującej rzeczywiste dane użytkowników — i przejął szeroki zakres poufnych informacji.

Ujawnione dane obejmują adresy e-mail, numery telefonów, zahashowane hasła oraz szczegóły dotyczące uwierzytelniania wieloskładnikowego (MFA). Ta ostatnia kategoria jest szczególnie niepokojąca. Fakt, że ujawnione zostały ustawienia MFA i tokeny urządzeń, oznacza, że atakujący mogą dysponować czymś więcej niż tylko Twoim hasłem. Dropbox rozpoczął powiadamianie dotkniętych użytkowników i wzywa ich do natychmiastowego zresetowania danych uwierzytelniających.

Dochodzenie jest w toku, a pełny zakres naruszenia nie został jeszcze publicznie potwierdzony.

Dlaczego ujawnienie MFA czyni to naruszenie poważniejszym

Większość naruszeń danych przebiega według znajomego schematu: ujawniany jest adres e-mail i zahashowane hasło, atakujący próbuje złamać hash lub użyć danych uwierzytelniających w innych serwisach, a konta padają. To naruszenie idzie o krok dalej.

Gdy dane konfiguracyjne MFA zostają skompromitowane, atakujący potencjalnie uzyskują wgląd w to, jak skonfigurowany jest drugi składnik uwierzytelniania ofiary. W zależności od tego, co było przechowywane i w jaki sposób, może to ułatwić ominięcie tej drugiej warstwy ochrony lub jej obejście za pomocą socjotechniki. Oznacza to również, że samo zmiana hasła może nie wystarczyć. Jeśli Twoja aplikacja uwierzytelniająca jest powiązana z tokenem urządzenia, który został ujawniony, łańcuch bezpieczeństwa ma słabe ogniwo, które należy w całości zastąpić.

Zahashowane hasła, choć nie są od razu czytelne, również nie są bezpieczne. Słabe lub ponownie używane hasła mogą zostać złamane za pomocą ataków słownikowych lub tablic tęczowych. Jeśli Twoje hasło do Dropbox Sign było krótkie, popularne lub współdzielone z inną usługą, należy je teraz traktować jako skompromitowane.

Co to oznacza dla Ciebie

Jeśli posiadasz konto Dropbox Sign, najbezpieczniejszym założeniem jest, że Twój adres e-mail i hash hasła są w rękach kogoś, kto nie powinien ich mieć. Oto, co powinieneś zrobić:

Natychmiast zresetuj hasło do Dropbox Sign. Użyj silnego, unikalnego hasła, którego nie używałeś nigdzie indziej. Menedżer haseł sprawia, że jest to proste i eliminuje pokusę ponownego używania danych uwierzytelniających.

Ponownie zarejestruj się w MFA. Nie pozostawiaj istniejącej konfiguracji MFA bez zmian. Ponieważ dane konfiguracyjne MFA były częścią naruszenia, rozsądnym krokiem jest wyłączenie obecnej konfiguracji MFA, a następnie skonfigurowanie jej od nowa. Jeśli korzystasz z uwierzytelniania dwuskładnikowego opartego na SMS, rozważ przejście na aplikację uwierzytelniającą, która jest ogólnie bardziej odporna na przechwytywanie.

Sprawdź ponowne użycie danych uwierzytelniających. Jeśli to samo hasło, którego używałeś w Dropbox Sign, pojawia się gdziekolwiek indziej, zmień je również w tych serwisach. Credential stuffing — czyli ataki, w których atakujący biorą jeden zestaw skompromitowanych danych uwierzytelniających i próbują go na dziesiątkach innych platform — jest jednym z najczęstszych i najskuteczniejszych następczych ataków po naruszeniu tego rodzaju.

Monitoruj swoje konta pod kątem nietypowej aktywności. Zwracaj uwagę na e-maile dotyczące resetowania hasła, których nie zlecałeś, nieznane powiadomienia o logowaniu lub jakąkolwiek aktywność na koncie, która wydaje się podejrzana. Jest to szczególnie ważne w przypadku kont e-mail, które mogą służyć jako brama do resetowania haseł we wszystkich innych serwisach.

Korzystaj z VPN w niezaufanych sieciach. Gdy resetujesz dane uwierzytelniające lub logujesz się ponownie do serwisów, robienie tego przez zaufane, szyfrowane połączenie zmniejsza ryzyko przechwycenia nowych danych uwierzytelniających. Publiczne Wi-Fi i sieci współdzielone nie są odpowiednim miejscem do obsługi odzyskiwania konta.

Obrona wielowarstwowa nie jest opcjonalna

Naruszenie Dropbox Sign przypomina, że żaden pojedynczy środek bezpieczeństwa nie jest sam w sobie wystarczający. Zahashowane hasła są lepsze niż przechowywane jako czysty tekst, ale nie są niemożliwe do złamania. MFA jest lepsze niż samo hasło, ale nie jest nieprzeniknione, gdy ujawnione zostają same dane konfiguracyjne. Celem obrony wielowarstwowej jest zapewnienie, że gdy jedna warstwa zawodzi, inne nadal stoją.

Dla przeciętnych użytkowników oznacza to połączenie silnych, unikalnych haseł, solidnego MFA, ostrożnych nawyków sieciowych i regularnego monitorowania w rutynę, a nie reakcję. Naruszenia będą nadal się zdarzać. Organizacje, którym powierzasz swoje dane, czasem nie zdołają ich ochronić. To, co możesz kontrolować, to jak wiele szkód może wyrządzić jedno skompromitowane konto, zanim to zauważysz.

Zacznij od podstaw: zmień narażone hasła, odśwież rejestrację MFA i sprawdź, gdzie jeszcze mogłeś użyć tych samych danych uwierzytelniających. Te trzy kroki pozwolą Ci wyeliminować większość ryzyka, jakie tworzy to naruszenie.

// FAQ

Jakie rodzaje danych zostały ujawnione w naruszeniu Dropbox Sign?

Naruszenie ujawniło adresy e-mail, numery telefonów, zahashowane hasła oraz szczegóły uwierzytelniania wieloskładnikowego (MFA), w tym tokeny urządzeń. Dropbox rozpoczął powiadamianie dotkniętych użytkowników i wzywa ich do natychmiastowego zresetowania danych uwierzytelniających.

Dlaczego ujawnienie danych MFA jest szczególnie niepokojące?

Skompromitowane dane konfiguracyjne MFA mogą dać atakującym wgląd w to, jak skonfigurowany jest drugi składnik uwierzytelniania ofiary, potencjalnie ułatwiając ominięcie tej warstwy ochrony. Oznacza to, że samo zmiana hasła może nie wystarczyć do pełnego zabezpieczenia konta.

Czy zahashowane hasła są bezpieczne przed atakującymi?

Zahashowane hasła nie są od razu czytelne, ale niekoniecznie są bezpieczne, ponieważ słabe lub ponownie używane hasła mogą zostać złamane za pomocą ataków słownikowych lub tablic tęczowych. Każde krótkie, popularne lub ponownie używane hasło do Dropbox Sign należy traktować jako skompromitowane.

Co powinni zrobić użytkownicy Dropbox Sign w odpowiedzi na to naruszenie?

Użytkownicy powinni natychmiast zresetować hasło do Dropbox Sign, używając silnego, unikalnego hasła, ponownie zarejestrować się w MFA od podstaw zamiast pozostawiać istniejącą konfigurację, oraz zmienić hasło we wszystkich innych serwisach, w których używali tych samych danych uwierzytelniających.

Czy Dropbox potwierdził pełny zakres naruszenia?

Nie, dochodzenie jest nadal w toku i pełny zakres naruszenia nie został jeszcze publicznie potwierdzony. Dropbox ujawnił incydent i rozpoczął powiadamianie dotkniętych użytkowników, jednak pełne szczegóły pozostają nieznane.

Co się wydarzyło w przypadku naruszenia Dropbox Sign

Dlaczego ujawnienie MFA czyni to naruszenie poważniejszym

Co to oznacza dla Ciebie

Obrona wielowarstwowa nie jest opcjonalna

// FAQ

// Powiązane