Dropbox Jadi Korban Peretasan, Data Pribadi Pelanggan Terdampak

Liputan6.com, Jakarta - Penyedia layanan penyimpanan cloud Dropbox mengungkapkan kalau layanan Dropbox Sign mereka (yang dulunya bernama HelloSign) jadi korban peretasan oleh hacker.

Dropbox Sign merupakan produk tanda tangan digital dari Dropbox. Mengutip laman Hacker News, Jumat (3/5/2024), kelompok ini mengakses alamat email, username, dan akun umum yang terhubung milik semua pengguna produk ini.

Dalam pengajuan terhadap Komisi Securitas dan Bursa Amerika Serikat (SEC), Dropbox mengatakan, mereka menyadari adanya akses tanpa izin pada 24 April 2024.

Sekadar informasi, Dropbox sebelumnya mengumumkan rencananya untuk mengakuisi layanan HelloSign pada Januari 2019.

"Pelaku ancaman telah mengakses data terkait dengan semua pengguna Dropbox Sign, seperti email dan nama pengguna, selain pengaturan akun umum," kata Dropbox dalam pengajuan terhadap SEC.

Untuk pengguna tertentu, pelaku peretasan juga mengakses nomor telepon, password yang dihash, dan informasi autentikasi tertentu. Misalnya kunci API, token OAuth, dan otentikasi multifaktor.

Parahnya lagi, intrusi atau upaya masuk tanpa persetujuan oleh hacker itu juga memengaruhi pihak ketiga yang menerima atau menandatangani dokumen melalui Dropbox Sign, tetapi tak pernah membuat akun sendiri, namun khusus mengungkapkan nama dan alamat mereka.

Penyelidikan yang dilakukan sejauh ini tak menemukan bukti bahwa penyerang telah mengakses konten akun pengguna. Mulai dari perjanjian atau template serta informasi pembayaran mereka.

Insiden ini disebut-sebut terbatas hanya pada infrastruktur Dropbox Sign.

Para peretas diyakini telah mendapatkan akses ke tool konfigurasi sistem otomatis Dropbox Sign.

Mereka juga diduga mengkompromikan akun layanan yang merupakan bagian dari backend Sign, dengan memanfaatkan hak istimewa yang ditingkatkan dari akun tersebut untuk mengakses database pelanggan.

Kendati demikian, perusahaan tidak mengungkapkan berapa banyak pelanggan yang terkena dampak peretasan ini.

Dropbox menyebut pihaknya tengah dalam proses menghubungi semua pengguna yang terdampak, bersamaan dengan "instruksi langkah demi langkah" untuk melindungi informasi mereka.

"Tim keamanan kami juga mengatur ulang password pengguna, logout pengguna dari semua perangkat yang terhubung ke Dropbox Sign, dan sedang mengkoordinasikan rotasi semua kunci API dan token OAuth," kata perusahaan.

Perusahaan juga menyebut mereka bekerja sama dengan penegak keamananan dan otoritas regulator untuk mengatasi masalah ini.

Ini bukan peretasan pertama yang dialami Dropbox, sebelumnya Dropbox juga pernah jadi target serangan, dua tahun lalu.

Pada November 2022, perusahaan mengklaim telah jadi korban kampanye phishing. Saat itu, aktor ancaman mendapatkan akses ke 130 dari seluruh Source Code mereka di GitHub.