Você está visualizando atualmente Dropbox Divulga Violação do Serviço de Assinatura Digital Afetando Todos os Usuários

Dropbox Divulga Violação do Serviço de Assinatura Digital Afetando Todos os Usuários

O provedor de serviços de armazenamento em nuvem Dropbox revelou na quarta-feira que o Dropbox Sign (anteriormente HelloSign) foi invadido por atores não identificados, que acessaram e-mails, nomes de usuários e configurações gerais da conta associadas a todos os usuários do produto de assinatura digital.

A empresa, em um comunicado à Comissão de Valores Mobiliários dos Estados Unidos (SEC), informou que tomou conhecimento do “acesso não autorizado” em 24 de abril de 2024. O Dropbox anunciou seus planos de adquirir o HelloSign em janeiro de 2019.

“O ator da ameaça acessou dados relacionados a todos os usuários do Dropbox Sign, como e-mails e nomes de usuários, além das configurações gerais da conta,” afirmou no documento.

“Para alguns usuários, o ator da ameaça também acessou números de telefone, senhas criptografadas e determinadas informações de autenticação, como chaves de API, tokens OAuth e autenticação multifator.”

A investigação realizada até agora não encontrou evidências de que os invasores acessaram o conteúdo das contas dos usuários, como acordos ou modelos, ou suas informações de pagamento. O incidente também está limitado à infraestrutura do Dropbox Sign.

Acredita-se que os invasores tenham ganhado acesso a uma ferramenta de configuração automatizada do Dropbox Sign e comprometido uma conta de serviço que faz parte do backend do Sign, explorando os privilégios elevados da conta para acessar o banco de dados de clientes.

A empresa, no entanto, não revelou quantos clientes foram afetados pelo hack, mas disse que está em processo de entrar em contato com todos os usuários impactados, juntamente com “instruções passo a passo” para proteger suas informações.

“Nossa equipe de segurança também redefiniu as senhas dos usuários, desconectou os usuários de qualquer dispositivo conectado ao Dropbox Sign, e está coordenando a rotação de todas as chaves de API e tokens OAuth,” afirmou.

O Dropbox também disse que está colaborando com as autoridades policiais e reguladoras sobre o assunto. A análise adicional da violação continua em andamento.

Essa é a segunda vez que o Dropbox foi alvo de um incidente desse tipo em dois anos. Em novembro de 2022, a empresa divulgou que foi vítima de uma campanha de phishing que permitiu que atores de ameaças não identificados obtivessem acesso não autorizado a 130 de seus repositórios de código-fonte no GitHub.