Von Dropbox wurden die Ergebnisse einer Untersuchung eines Hacks der Dropbox-Infrastruktur bekannt gegeben. Das Unternehmen gibt allerdings nicht an, wann der Vorfall tatsächlich stattgefunden hat. Es heißt lediglich, dass der Angriff von Mitarbeitern des Unternehmens am 24. April bemerkt wurde. Hier erklären wir, was passiert ist, welche Daten geleakt wurden und wie Sie sich und Ihr Unternehmen vor den Folgen des Vorfalls schützen können.
Dropbox Sign hack: Wie es dazu kam und welche Daten entwendet wurden
Unbekannten Angreifern ist es gelungen, das Konto des Dropbox Sign-Dienstes zu kompromittieren und so Zugriff auf den plattforminternen automatischen Konfigurationsmechanismus zu erhalten. Mit diesem Zugang konnten die Hacker auf eine Datenbank zugreifen, die Informationen über Dropbox Sign-Nutzer enthält.
Infolgedessen wurden die folgenden Daten von registrierten Nutzern des Sign-Dienstes entwendet:
- Benutzernamen
- E-Mail-Adressen;
- Telefonnummern;
- Passwörter (gehasht);
- Authentifizierungsschlüssel für die DropBox Sign API;
- OAuth-Authentifizierungs-Tokens;
- Zwei-Faktor-Authentifizierungstoken für SMS und Anwendungen.
Wenn Nutzer des Dienstes mit dem Dienst interagiert haben, ohne ein Konto zu erstellen, sind nur ihre Namen und E-Mail-Adressen geleakt worden.
Dropbox behauptet, dass es keine Anzeichen für einen unbefugten Zugriff auf die Inhalte der Benutzerkonten – also Dokumente und Verträge sowie Zahlungsinformationen – gefunden hat.
Als Schutzmaßnahme hat Dropbox die Passwörter für alle Dropbox Sign-Konten zurückgesetzt und alle aktiven Sitzungen beendet, sodass Sie sich erneut bei dem Dienst anmelden und ein neues Passwort festlegen müssen.
Betrifft der Dropbox Sign-Hack alle Dropbox-Benutzer?
Dropbox Sign, früher bekannt als HelloSign, ist das eigenständige Cloud-Dokumenten-Workflow-Tool von Dropbox, das hauptsächlich zum Signieren elektronischer Dokumente verwendet wird. Die ähnlichsten Vertreter dieses Dienstes sind DocuSign und Adobe Sign.
Wie das Unternehmen in seiner Erklärung betont, ist die Infrastruktur von Dropbox Sign „weitgehend von den anderen Dropbox-Diensten getrennt“. Nach den Untersuchungsergebnissen des Unternehmens zu urteilen, war der Dropbox Sign-Hack ein isolierter Vorfall und betraf keine anderen Dropbox-Produkte. Nach den Informationen, die wir jetzt haben, ist der Hack also in keiner Weise eine Bedrohung für die Nutzer des Hauptdienstes des Unternehmens, dem Cloud-Dateispeicher Dropbox selbst. Dies gilt auch für die Nutzer, deren Sign-Konto mit ihrem Dropbox-Hauptkonto verknüpft war.
Was sollten Sie tun, wenn Dropbox Sign gehackt wurde?
Dropbox hat die Passwörter für alle Dropbox Sign-Konten bereits zurückgesetzt. Sie müssen also auf jeden Fall das Passwort ändern. Wir empfehlen Ihnen, ein völlig neues Passwort zu verwenden und nicht nur eine leicht veränderte Version des alten Passworts. Idealerweise sollten Sie eine lange zufällige Zeichenkombination mit dem Passwortmanager generieren und dort speichern.
Da die Token für die Zwei-Faktor-Authentifizierung auch gestohlen wurden, sollten Sie diese ebenfalls zurücksetzen. Wenn Sie eine SMS verwendet haben, geschieht das Zurücksetzen automatisch. Wenn Sie eine Anwendung verwendet haben, müssen Sie dies selbst tun. Dazu müssen Sie Ihre Authentifizierungs-App erneut beim Dropbox Sign-Dienst registrieren.
Die Liste der von den Hackern gestohlenen Daten enthält auch die Authentifizierungsschlüssel für die Dropbox Sign API. Wenn Ihr Unternehmen dieses Tool über die API verwendet hat, müssen Sie folglich einen neuen Schlüssel generieren.
Wenn Sie dasselbe Passwort in anderen Diensten verwendet haben, sollten Sie es so schnell wie möglich ändern – vor allem, wenn es mit demselben Benutzernamen, derselben E-Mail-Adresse oder Telefonnummer verbunden war, die Sie bei der Registrierung für Dropbox Sign angegeben haben. Auch hierfür ist es praktisch, unseren Passwortmanager zu verwenden, der übrigens Teil unserer Sicherheitslösung für kleine Unternehmen ist.