Dropbox meldt datalek in handtekeningprogramma Sign

Dropbox meldt dat een hacker ongeoorloofd toegang heeft gehad tot systemen voor het programma Sign, het voormalige HelloSign. De aanvallers hadden toegang tot diverse persoonsgegevens, maar niet tot handtekeningen. Getroffenen worden via een e-mail ingelicht.

Het bedrijf schrijft dat de cyberaanval op 24 april plaatsvond, waarbij hackers toegang kregen tot de 'productieomgeving' van Dropbox Sign. Via een geautomatiseerde systeemconfiguratietool verkreeg de derde partij met een gecompromitteerd 'niet-menselijk account' toegang tot de backend van het programma.

Afhankelijk van hoe gebruikers interactie met Dropbox Sign hadden, kunnen er verschillende persoonsgegevens zijn buitgemaakt. Zo was er van gebruikers zonder een account toegang tot hun e-mailadressen en namen. Bij gebruikers met een account was er tevens mogelijk ongeoorloofde toegang tot telefoonnummers, gehashte wachtwoorden, api-keys en authenticatietokens. Dropbox benadrukt dat het puur gaat om accountinformatie, niet om inhoud die via deze accounts in Sign is gemaakt, waaronder dus bijvoorbeeld digitale handtekeningen en documenten.

Het bedrijf heeft wachtwoorden automatisch gereset en verzoekt api-klanten om nieuwe api-keys te genereren. Ook moeten gebruikers die multifactorauthenticatie gebruiken, deze functie resetten.

Door Yannick Spinner

Redacteur

Feedback • 02-05-2024 15:07
11 • submitter: WhatsappHack

02-05-2024 • 15:07

11

Submitter: WhatsappHack

Lees meer

Dropbox stopt eind oktober met wachtwoordmanager Passwords
Dropbox stopt eind oktober met wachtwoordmanager Passwords Nieuws van 30 juli 2025
Dropbox ontslaat 20 procent van personeel en 'heeft te veel managementlagen'
Dropbox ontslaat 20 procent van personeel en 'heeft te veel managementlagen' Nieuws van 30 oktober 2024
Ticketmaster erkent hack waarbij mogelijk klantgegevens zijn gestolen - update
Ticketmaster erkent hack waarbij mogelijk klantgegevens zijn gestolen - update Nieuws van 1 juni 2024
Dell waarschuwt klanten voor datalek waarbij namen en hardwaredata zijn gestolen
Dell waarschuwt klanten voor datalek waarbij namen en hardwaredata zijn gestolen Nieuws van 10 mei 2024
'China hackte salarissysteem van Brits ministerie van Defensie'
'China hackte salarissysteem van Brits ministerie van Defensie' Nieuws van 7 mei 2024
'Datalek zorgbedrijf VS mogelijk gemaakt via gestolen Citrix-login'
'Datalek zorgbedrijf VS mogelijk gemaakt via gestolen Citrix-login' Nieuws van 2 mei 2024
Verizon: helft securityincidenten in Europa heeft interne oorzaak
Verizon: helft securityincidenten in Europa heeft interne oorzaak Nieuws van 2 mei 2024
Cryptohandelsplatform Bitvavo meldt datalek bij 'beperkte groep gebruikers'
Cryptohandelsplatform Bitvavo meldt datalek bij 'beperkte groep gebruikers' Nieuws van 1 mei 2024
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb
Proton Mail gaat betalende klanten waarschuwen voor datalekken op het darkweb Nieuws van 22 april 2024
Hackers hadden jarenlang toegang tot IT-systemen Volkswagen
Hackers hadden jarenlang toegang tot IT-systemen Volkswagen Nieuws van 21 april 2024
Ready Or Not-ontwikkelaar bevestigt hack waarbij broncode werd buitgemaakt
Ready Or Not-ontwikkelaar bevestigt hack waarbij broncode werd buitgemaakt Nieuws van 18 april 2024
Meer producten en artikelen
Beveiliging en antivirus Cybercrime Datalek Dropbox Hack Hackers

Reacties (11)

-Moderatie-faq
11
11
3
0
0
6
Wijzig sortering
JustFogMaxi 2 mei 2024 15:19
Hoeveel lekker heeft dropbox al gehad? Ik blijf er ver van weg.
firedancer-88 @JustFogMaxi2 mei 2024 16:10
Denk je dat bij de concurrent / andere bedrijven beter af bent? Ik denk juist dat het goed is dat dit in de media komt en ze er bovenop zitten. Voorkomen kun je nooit helemaal.

Ik maak me meer zorgen om bedrijven die hun audit en logging minder op orde hebben en dus helemaal niet in de gaten hebben als er ingebroken wordt... alleen al daarom gebruik ik voor elk nieuw account een unieke e-mail alias.

Het is naief om te denken dat je bij de concurrent beter af/veilig bent, want dat ben je nergens. Als je het risico compleet wil elimineren dat je data gelekt wordt, moet je een compleet offline bestaan gaan leiden en dat is praktisch onmogelijk (zorgverzekeraar, energieleverancier... etc.)
Janbraam @firedancer-882 mei 2024 19:40
Het is naief om te denken dat je bij de concurrent beter af/veilig bent, want dat ben je nergens. Als je het risico compleet wil elimineren dat je data gelekt wordt, moet je een compleet offline bestaan gaan leiden en dat is praktisch onmogelijk (zorgverzekeraar, energieleverancier... etc.)
Wel jammer dat je het zo zwart-wit neerzet ("compleet elimineren"), een grijs gebied zou kunnen zijn om je data neer te zetten bij een partij die je vertrouwt (1). Een partij als Pcloud of Proton lijken mij veilige keuzes.

Tweede punt (2) is dat je je data kunt versleutelen, voordat je je data verzendt-naar-de-cloud (om het woord uploaden maar te vermijden :) ). Een klein beetje kennis op het gebied van cryptografie lijkt mij zeker handig.
DonJunior @Janbraam10 mei 2024 07:57
Een partij als Pcloud of Proton lijken mij veilige keuzes.
Mag ik vragen waarop je dit dan baseerd? Omdat beiden in Zwitserland zitten of zit er meer achter? (oprechte interesse)
Janbraam @DonJunior10 mei 2024 12:37
[...]

Mag ik vragen waarop je dit dan baseerd? Omdat beiden in Zwitserland zitten of zit er meer achter? (oprechte interesse)
Zulke kleine bedrijven kunnen zich onderscheiden, niet doordat ze groot zijn, maar juist hun vermogen om sneller veranderingen door te kunnen voeren zonder dat grote groepen gebruikers direct op hun achterste benen staan en moord en brand roepen.

Daarnaast heeft Proton en Pcloud inmiddels een hele aardige reputatie op weten te bouwen.

En als laatste punt: zij maken aanzienlijk minder reclame dan bijv. een bedrijf als Apple. En dit is persoonlijk: als een product gewoon goed is, verkoopt het zichzelf wel (is mijn opvatting). Bij een bedrijf wat wel érg veel reclame maakt (een ander goed voorbeeld is Samsung) denk ik dan toch: laat maar zitten, ik zit niet te wachten op al die agressieve verkoopmethoden, al die posters in de stad, schreeuwerige reclame en onnodige gratis gadgets die toch al snel worden weggegooid of bij een kringloopwinkel terechtkomen en liggen te verstoffen omdat bijna niemand er geld voor wil geven...

Magoe, dat is mijn 2cent.
DonJunior @Janbraam10 mei 2024 15:31
Maar, met alle respect, waarop basseer je nu dat beiden een veiligere keuze zijn dan, bijvoorbeeld, Dropbox.

"Ze hebben een aardige reputatie opgebouwd" .. Door wat te doen? Ik ken ze niet dus als jij zegt dat ze een goede reputatie hebben hoe kan ik dat dan verifieren?

Het reclame statement vind ik nou niet een sterke onderbouwing om een bedrijf een veiligere keuze te vinden.

Bedrijven als Spotify zijn vrij groot en schakelen toch (qua development) behoorlijk snel. (https://www.atlassian.com/agile/agile-at-scale/spotify) Dus dat argument, dat het kleine bedrijven zijn die snel kunnen schakelen, lijkt mij persoonlijk ook niet echt een voorwaarde om een veilgiere keuze te zijn.
Genoeg kleinere bedrijven die er qua security echt niets van bakken (vaak simpelweg omdat ze gefocussed zijn op feature release ipv security)
Janbraam @DonJunior10 mei 2024 18:03
Ik ben hier niet om jou (of wie dan ook) te overtuigen. Ik maak een keuze voor mijzelf, ik heb geen beslissingsbevoegdheid voor welk bedrijf dan ook (ook ZZP'ers maken uiteindelijk hun eigen keuze).

Dat gezegd hebbende: bij Dropbox is er integratie van derde-partijen-extensies. Hartstikke mooi, als je daar gebruik van maakt. Maar: als in die software een lek zit, kom je uiteindelijk bij jouw bestanden op Dropbox. Ik wil dat niet, dus dan kies ik voor mindere functionaliteit en meer veiligheid. Privacy is ook onderdeel van veiligheid, die is bij Pcloud beter geregeld dan bij Dropbox.

Eén van de leidraden voor "security best practices cloud" is deze.
DonJunior @Janbraam11 mei 2024 08:44
Ik ben hier niet om jou (of wie dan ook) te overtuigen. Ik maak een keuze voor mijzelf,
Jij maakt een statement, vervolgens vraag ik, uit oprechte interesse hoe je tot deze informatie komt, en dan kom je uiteindelijk met dit als argument?
Dus je kunt het niet onderbouwen, prima maar zeg dat dan gewoon. Nu zet je mij neer alsof ik stomme vragen stel. Beetje jammer
DuncanGTI @JustFogMaxi2 mei 2024 15:52
2012: In juli 2012 maakte Dropbox bekend dat een aantal gebruikersaccounts was gecompromitteerd als gevolg van een gestolen wachtwoord. Dit leidde tot ongeautoriseerde toegang tot Dropbox-accounts.
2016: In augustus 2016 kwam aan het licht dat een eerdere hack uit 2012 had geleid tot het lekken van e-mailadressen en wachtwoorden van ongeveer 68 miljoen Dropbox-gebruikers. Dit lek was het gevolg van een grootschalige inbraak in 2012 waarbij gegevens op grote schaal waren buitgemaakt
Jim80 2 mei 2024 16:03
Elke dag lees je wel een datalek op Tweakers. Met een enorme datahonger, onder het mom van criminaliteit tegen te gaan, doet men net die criminelen een enorm cadeau.
bbstreams 3 mei 2024 18:00
geeft wel aan dat MFA niet goed genoeg is, die hebben vaak geen key pairs, data moet dus ook E2EE versleuteld zijn, er zijn maar weinig die dit goed doen, nadeel is wel dat er geen backup is als die sleutels verliest.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq