El proveedor de servicios de almacenamiento en la nube Dropbox reveló el miércoles que Dropbox Sign (anteriormente HelloSign) fue violado por actores de amenazas no identificados, que accedieron a correos electrónicos, nombres de usuario y configuraciones generales de cuentas asociadas con todos los usuarios del producto de firma digital.
La compañía, en una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC), dijo que se dio cuenta del "acceso no autorizado" el 24 de abril de 2024. Dropbox anuncio sus planes de adquirir HelloSign en enero de 2019.
"El actor de amenazas había accedido a datos relacionados con todos los usuarios de Dropbox Sign, como correos electrónicos y nombres de usuario, además de la configuración general de la cuenta", dijo en la presentación del Formulario 8-K.
"Para los subconjuntos de usuarios, el actor de amenazas también accedió a números de teléfono, contraseñas con hash y cierta información de autenticación, como claves API, tokens OAuth y autenticación multifactor".
Y lo que es peor, la intrusión también afecta a terceros que recibieron o firmaron un documento a través de Dropbox Sign, pero que nunca crearon una cuenta, exponiendo específicamente sus nombres y direcciones de correo electrónico.
La investigación realizada hasta ahora no ha descubierto evidencia de que los atacantes hayan accedido al contenido de las cuentas de los usuarios, como acuerdos o plantillas, o su información de pago. También se dice que el incidente se limita a la infraestructura de Dropbox Sign.
Se cree que los atacantes obtuvieron acceso a una herramienta de configuración automatizada del sistema de Dropbox Sign y comprometieron una cuenta de servicio que forma parte del backend de Sign, explotando los privilegios elevados de la cuenta para acceder a su base de datos de clientes.
La compañía, sin embargo, no reveló cuántos clientes se vieron afectados por el hackeo, pero dijo que está en proceso de comunicarse con todos los usuarios afectados junto con "instrucciones paso a paso" para proteger su información.
"Nuestro equipo de seguridad también restablece las contraseñas de los usuarios, cierra la sesión de los usuarios de cualquier dispositivo que se hayan conectado a Dropbox Sign y está coordinando la rotación de todas las claves API y tokens OAuth"
Dropbox también dijo que está cooperando con las autoridades policiales y reguladoras en el asunto. El análisis adicional de la violación sigue en curso.
La brecha es el segundo incidente de este tipo que afecta a Dropbox en dos años. En noviembre de 2022, la compañía divulgo que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub.
