Dropbox Jadi Korban Peretasan, Data Pribadi Pelanggan Terdampak

Dropbox mengumumkan salah satu produknya yakni Dropbox Sign menjadi korban peretasan oleh hacker tak dikenal. Data pribadi pelanggan layanan tanda tangan digital ini pun terdampak, mulai dari alamat email hingga username.

oleh Agustin Setyo Wardani diperbarui 04 Mei 2024, 08:00 WIB
Diterbitkan 04 Mei 2024, 08:00 WIB
ilustrasi Dropbox
ilustrasi Dropbox (sumber: Pixabay)

Liputan6.com, Jakarta - Penyedia layanan penyimpanan cloud Dropbox mengungkapkan kalau layanan Dropbox Sign mereka (yang dulunya bernama HelloSign) jadi korban peretasan oleh hacker.

Dropbox Sign merupakan produk tanda tangan digital dari Dropbox. Mengutip laman Hacker News, Jumat (3/5/2024), kelompok ini mengakses alamat email, username, dan akun umum yang terhubung milik semua pengguna produk ini.

Dalam pengajuan terhadap Komisi Securitas dan Bursa Amerika Serikat (SEC), Dropbox mengatakan, mereka menyadari adanya akses tanpa izin pada 24 April 2024.

Sekadar informasi, Dropbox sebelumnya mengumumkan rencananya untuk mengakuisi layanan HelloSign pada Januari 2019.

"Pelaku ancaman telah mengakses data terkait dengan semua pengguna Dropbox Sign, seperti email dan nama pengguna, selain pengaturan akun umum," kata Dropbox dalam pengajuan terhadap SEC.

Untuk pengguna tertentu, pelaku peretasan juga mengakses nomor telepon, password yang dihash, dan informasi autentikasi tertentu. Misalnya kunci API, token OAuth, dan otentikasi multifaktor.

Parahnya lagi, intrusi atau upaya masuk tanpa persetujuan oleh hacker itu juga memengaruhi pihak ketiga yang menerima atau menandatangani dokumen melalui Dropbox Sign, tetapi tak pernah membuat akun sendiri, namun khusus mengungkapkan nama dan alamat mereka.

Penyerang Tak Akses Konten Pengguna

Hampir 7 Juta Password Pengguna Dropbox Dicuri Hacker!
Ilustrasi Dropbox

Penyelidikan yang dilakukan sejauh ini tak menemukan bukti bahwa penyerang telah mengakses konten akun pengguna. Mulai dari perjanjian atau template serta informasi pembayaran mereka.

Insiden ini disebut-sebut terbatas hanya pada infrastruktur Dropbox Sign.

Para peretas diyakini telah mendapatkan akses ke tool konfigurasi sistem otomatis Dropbox Sign.

Mereka juga diduga mengkompromikan akun layanan yang merupakan bagian dari backend Sign, dengan memanfaatkan hak istimewa yang ditingkatkan dari akun tersebut untuk mengakses database pelanggan.

Belum Tahu Berapa Pelanggan Jadi Korban

Kendati demikian, perusahaan tidak mengungkapkan berapa banyak pelanggan yang terkena dampak peretasan ini.

Dropbox menyebut pihaknya tengah dalam proses menghubungi semua pengguna yang terdampak, bersamaan dengan "instruksi langkah demi langkah" untuk melindungi informasi mereka.

"Tim keamanan kami juga mengatur ulang password pengguna, logout pengguna dari semua perangkat yang terhubung ke Dropbox Sign, dan sedang mengkoordinasikan rotasi semua kunci API dan token OAuth," kata perusahaan.

Bukan Pertama Kali Jadi Korban Peretasan

Perusahaan juga menyebut mereka bekerja sama dengan penegak keamananan dan otoritas regulator untuk mengatasi masalah ini.

Ini bukan peretasan pertama yang dialami Dropbox, sebelumnya Dropbox juga pernah jadi target serangan, dua tahun lalu.

Pada November 2022, perusahaan mengklaim telah jadi korban kampanye phishing. Saat itu, aktor ancaman mendapatkan akses ke 130 dari seluruh Source Code mereka di GitHub.

 

Infografis 4 Rekomendasi Chatbot AI Terbaik. (Liputan6.com/Gotri/Abdillah)
Infografis 4 Rekomendasi Chatbot AI Terbaik. (Liputan6.com/Gotri/Abdillah)
Lanjutkan Membaca ↓
Loading

Video Pilihan Hari Ini

Video Terkini

POPULER

Berita Terkini Selengkapnya