El proveedor de servicios de almacenamiento en la nube, Dropbox, reveló el miércoles que Dropbox Sign (anteriormente HelloSign) fue violado por actores de amenazas no identificados, que accedieron a correos electrónicos, nombres de usuario y configuraciones generales de cuentas asociadas con todos los usuarios del producto de firma digital.
La compañía, en una presentación ante la Comisión de Bolsa y Valores de EE. UU. (SEC), dijo que tuvo conocimiento del «acceso no autorizado» el 24 de abril de 2024. Dropbox anunció sus planes de adquirir HelloSign en enero de 2019.
«El actor de la amenaza había accedido a datos relacionados con todos los usuarios de Dropbox Sign, como correos electrónicos y nombres de usuario, además de la configuración general de la cuenta», decía en la presentación del Formulario 8-K.
«Para subconjuntos de usuarios, el actor de amenazas también accedió a números de teléfono, contraseñas hash y cierta información de autenticación, como claves API, tokens OAuth y autenticación multifactor».
Peor aún, la intrusión también afecta a terceros que recibieron o firmaron un documento a través de Dropbox Sign, pero nunca crearon una cuenta, exponiendo específicamente sus nombres y direcciones de correo electrónico.
La investigación realizada hasta el momento no ha descubierto evidencia de que los atacantes hayan accedido al contenido de las cuentas de los usuarios, como acuerdos o plantillas, o a su información de pago. También se dice que el incidente está restringido a la infraestructura de Dropbox Sign.
Se cree que los atacantes obtuvieron acceso a una herramienta de configuración del sistema automatizado de Dropbox Sign y comprometieron una cuenta de servicio que forma parte del backend de Sign, explotando los privilegios elevados de la cuenta para acceder a su base de datos de clientes.
La compañía, sin embargo, no reveló cuántos clientes se vieron afectados por el hack, pero dijo que está en el proceso de comunicarse con todos los usuarios afectados junto con «instrucciones paso a paso» para proteger su información.
«Nuestro equipo de seguridad también restableció las contraseñas de los usuarios, cerró la sesión de los usuarios en cualquier dispositivo que hubieran conectado a Dropbox Sign y está coordinando la rotación de todas las claves API y tokens OAuth», dijo.
Dropbox también dijo que está cooperando con las autoridades reguladoras y policiales en el asunto. Se siguen realizando más análisis de la infracción.
La infracción es el segundo incidente de este tipo que afecta a Dropbox en dos años. En noviembre de 2022, la empresa divulgó que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub.
Fuente y redacción: thehackernews.com
