Zum Inhalt springen
Technik. Tests. Trends.
Profil
VG Wort Pixel

Sicherheit

Hacker stahlen Dropbox Sign-Kundendaten

Hacker verschafften sich Zugang auf die Server von Dropbox Sign. Dabei wurden Kundendaten entwendet. Betroffene sollten schnell handeln.

dropbox-sign-logo
Dropbox wurde Opfer von Cyberkriminellen.
© Dropbox

Dropbox macht auf seinem Unternehmens-Blog auf einen Sicherheitsvorfall bei den Dropbox Sign-Servern aufmerksam. So bemerkte die Firma am 24. April, dass sich Hacker auf die Produktionsumgebung von Dropbox Sign (ehemals HelloSign) Zugriff verschafft hatten. Dropbox Sign ist der Unterschriftendienst ...

Dropbox macht auf seinem Unternehmens-Blog auf einen Sicherheitsvorfall bei den Dropbox Sign-Servern aufmerksam. So bemerkte die Firma am 24. April, dass sich Hacker auf die Produktionsumgebung von Dropbox Sign (ehemals HelloSign) Zugriff verschafft hatten. Dropbox Sign ist der Unterschriftendienst für Dokumente, den Dropbox Kunden anbietet. Das Unternehmen ließ sofort den Vorfall von einem Sicherheitsteam mit forensischen Ermittlern untersuchen.

Was ist geschehen?

Basierend auf den Ermittlungen hat sich ein Hacker Zugang zu einem automatisierten Systemkonfigurationstool von Dropbox Sign verschafft. Der Angreifer kompromittierte ein Dienstkonto, das Teil des Backends von Sign war, bei dem es sich um eine Art nicht-menschliches Konto handelt, das zum Ausführen automatisierter Dienste verwendet wird. Als solches verfügte dieses Konto über die Berechtigung, eine Vielzahl von Aktionen innerhalb der Produktionsumgebung von Sign auszuführen. Der Hacker nutzte dann diesen Zugriff, um auf unsere Kundendatenbank zuzugreifen.

Der normale Dropbox-Dienst soll nicht betroffen sein. Der Täter griff auf Dropbox Sign-Kundendaten wie E-Mails, Nutzernamen, Telefonnummern und gehashte Passwörter sowie auf allgemeine Kontoeinstellungen und bestimmte Authentifizierungsinformationen wie API-Schlüssel, OAuth-Token und Multi-Faktor-Authentifizierung zu. Die Firma stellte klar, dass der Angriff auf Dropbox Sign beschränkt war, und keine Auswirkungen auf andere Dropbox-Produkte hatte. Aus technischer Sicht sei die Infrastruktur von Dropbox Sign weitgehend von anderen Dropbox-Diensten getrennt

Wer ist noch betroffen?

Von Empfängern, die ein Dokument über Dropbox Sign erhalten oder unterschrieben haben, aber nie ein Konto erstellt hatten, wurden auch die E-Mail-Adressen und Namen offengelegt. Bei seiner Untersuchung konnte das Sicherheitsteam nicht feststellen, dass auch die Inhalte der unterschriebenen Dokumente oder zugehörige Bankdaten kompromittiert wurden.

Wie können sich Dropbox Sign-Kunden schützten?

1. Hilfe von Dropbox

Betroffene Benutzer, die Maßnahmen ergreifen müssen, bekommen eine Schritt-für-Schritt-Anleitungen, wie sie ihre Daten weiter schützen können. Das Dropbox-Sicherheitsteam habe auch die Passwörter der Nutzer zurückgesetzt und Nutzer von allen Geräten abgemeldet, die sie mit Dropbox Sign verbunden hatten. Außerdem wird die Rotation aller API-Schlüssel und OAuth-Token koordiniert. Wer ein Dropbox Sign- oder HelloSign-Konto nicht mit Passwort, sondern etwa "Mit Google registrieren" eingerichtet hat, von dem wurde kein Passwort offengelegt.

2. Passwort erneuern

Dropbox-Kunden sollen unbedingt möglichst bald bei Ihrem Sign-Konto anmelden und ihr Passwort erneuern. API-Kunden sollen ihren API-Schlüssel wechseln.

3. API-Schlüssel wechseln

Als zusätzliche Vorsichtsmaßnahme hat Dropbox Funktionen von API-Schlüsseln zeitweilig eingeschränkt. Nur Signaturanforderungen und Signaturfunktionen sind für Ihre Geschäftskontinuität weiterhin betriebsbereit. Nach dem Wechsel des API-Schlüssel, werden die Einschränkungen aufgehoben und das Produkt soll weiterhin wie gewohnt funktionieren.

4. Multi-Faktor-Authentifizierung zurücksetzen

Kunden, die eine Authentifikator-App für die Multi-Faktor-Authentifizierung verwenden, sollten diese zurücksetzen.

5. SMS-Kunden

SMS-Kunden müssen Sie nichts unternehmen.

6. Mehrfachverwendung von Passwörtern

Wer sein Dropbox Sign-Passwort für andere Dienste wiederverwendet hat, sollte das Passwort für diese Konten möglichst bald ändern und auch die Multi-Faktor-Authentifizierung verwenden, sofern diese verfügbar ist.

7. Dropbox fragen

Dropbox Sign-Kunden, die Probleme oder Fragen haben, sollen sich direkt an Dropbox wenden.

Autor: Tom Rathert • 6.5.2024

Smartphone gesucht? Nutzen Sie unseren Handyvergleich! Hier vergleichen.
Nächste passende Artikel
shutterstock-2486046299-2486046299-mer-studio
Hacker umgehen Air Gaps mit USB-Schadsoftware Cyber-Attacken auf besonders gesicherte, isolierte Netzwerke gelungen
Wer in den vergangenen Jahren bei Dell eingekauft hat, sollte ein Auge auf potenzielle verdächtige Aktivitäten werfen.
Betroffene informiert Dell: Kundendaten gestohlen und verkauft
smishing-hack-smartphone
SMS-Phishing wieder aktuell Neue Betrugsmasche: Fake-SMS warnen vor persönlichen Fotos im Netz
Smartphone Virus
Hacker locken mit Fake-Apps Falsche Corona-Apps: Vorsicht vor Malware
Social Media Soziales Netzwerk App
Sicherheitsrisiko bei Social-Media-App TikTok: Hacker-Angriff per SMS - das sollten Nutzer beachten!
iPhone iPad Download
Sicherheitslücke bei Apple? iOS 12.1: Hacker wollen Entsperr-Code auf iPhone umgehen können
Instagram-App Smartphone
Telefonnummern und E-Mail-Adressen Instagram-Bug: Hacker erbeuten persönliche Daten
Cloud Sicherheit
Cyber-Kriminalität Illegaler Zugriff auf iCloud: Hacker erpressen Apple
Mehr zum Thema
Hackergruppen gefährden die IT-Sicherhei
"Elasticsearch" Facebook, Google, Netflix: Login-Daten von 184 Mio. Nutzern veröffentlicht
Sicherheit vor Hacker im Internet
Cyberhaven Datendiebstahl durch Chrome-Erweiterungen: Massive Angriffswelle gefährdet Hunderttausende Nutzer
Proton Security Datenleak
Technischer Fehler? Datenleak im Darknet: Hunderte Politiker von Sicherheitsvorfall betroffen
Smartphone mit Fußball
HaveIBeenPwned-Zuwachs Online-Sportwetten: Fast 100 Millionen Nutzerdaten von 1Win geleakt
Weiter zur Startseite