November 25, 2024

DropBox ข้อมูลรั่ว ผลพวงการซื้อกิจการที่มาพร้อมช่องโหว่

หนึ่งในเหตุการณ์ความปลอดภัยทางไซเบอร์ ซึ่งเป็นที่ฮือฮากันในช่วงนี้คือ การที่แฮกเกอร์สามารถเจาะเข้าระบบของ DropBox ผ่านทางบริการ Dropbox Sign อันเป็นบริการ e-signature service ส่งผลกระทบต่อข้อมูลอันอ่อนไหวของผู้ใช้บริการ อีเมล รวมถึงข้อมูลการตรวจสอบสิทธิ์ที่ละเอียดอ่อน

โดย Dropbox เปิดเผยการละเมิดข้อมูลที่ส่งผลต่อบริการลายเซ็นอิเล็กทรอนิกส์ Dropbox Sign เมื่อวันที่ 1 พฤษภาคม บริษัทเปิดเผยว่าข้อมูลลูกค้าถูกเข้าถึงโดยผู้คุกคามที่ไม่ได้รับอนุญาต และสามารถเข้าถึงสภาพแวดล้อมการใช้งานจริงของ Dropbox Sign เมื่อวันที่ 24 เมษายน

การตรวจสอบโดย Dropbox พบว่าแฮกเกอร์สามารถเข้าถึงเครื่องมือกำหนดค่าระบบอัตโนมัติของ Dropbox Sign และบุกรุกบัญชีบริการในระบบแบ็คเอนด์ที่ใช้ในการรันแอปพลิเคชันและเรียกใช้บริการอัตโนมัติ ทำให้ผู้โจมตีมีสิทธิ์ที่จำเป็นในการดำเนินห่วงโซ่การติดไวรัสต่อไปภายในสภาพแวดล้อมการผลิต กล่าวคือ การเข้าถึงฐานข้อมูลลูกค้าของ Dropbox Sign

เอกสารที่ยื่นต่อ กลต ระบุว่าแฮกเกอร์สามารถเข้าถึงข้อมูลที่เกี่ยวข้องกับผู้ใช้ Dropbox Sign ทั้งหมด เช่น อีเมล ชื่อผู้ใช้ และการตั้งค่าบัญชีทั่วไป Dropbox เสริมว่าแฮกเกอร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนเพิ่มเติมของกลุ่มผู้ใช้ Sign ซึ่งรวมถึงหมายเลขโทรศัพท์ hashed password และข้อมูลการตรวจสอบสิทธิ์บางอย่าง รวมถึงคีย์ API, OAuth tokens และการตรวจสอบสิทธิ์แบบหลายปัจจัย

ทั้งนี้บริการ Dropbox Sign ไม่ได้เป็นบริการที่พัฒนาโดยทีม DropBox มาตั้งแต่ต้น แต่เป็นการซื้อกิจการบริการลายเซ็นอิเล็กทรอนิกส์ HelloSign ในปี 2019 และเปลี่ยนชื่อเป็น Dropbox Sign ในปี 2022 ซึ่งการซื้อกิจการในครั้งนั้นอาจมาพร้อมกับช่องโหว่จากการพัฒนา โดยที่ทีม DropBox เองไปสามารถตรวจสอบเจอได้ง่ายๆ เนื่องจากไม่ได้พัฒนาเองมาแต่ต้นนั่นเอง

ที่มา itpro