Dropbox revela una violación del servicio de firma digital que afecta a todos los usuarios

Luis Quiles

mayo 9, 2024

Brecha de Información, Ataque cibernético, Ciber Ataque

El proveedor de servicios de almacenamiento en la nube Dropbox reveló el miércoles que Dropbox Sign (anteriormente HelloSign) fue comprometido por actores de amenazas no identificados, quienes accedieron a correos electrónicos, nombres de usuario y configuraciones de cuenta generales asociadas con todos los usuarios del producto de firma digital.

La empresa, en un informe presentado ante la Comisión de Valores y Bolsa de Estados Unidos (SEC, por sus siglas en inglés), dijo que se enteró del «acceso no autorizado» el 24 de abril de 2024. Dropbox anunció sus planes de adquirir HelloSign en enero de 2019.

«El actor de amenazas había accedido a datos relacionados con todos los usuarios de Dropbox Sign, como correos electrónicos y nombres de usuario, además de configuraciones de cuenta generales», dijo en la presentación del Formulario 8-K.

«Para subconjuntos de usuarios, el actor de amenazas también accedió a números de teléfono, contraseñas con hash e información de autenticación como claves API, tokens de OAuth y autenticación de múltiples factores.»

Peor aún, la intrusión también afecta a terceros que recibieron o firmaron un documento a través de Dropbox Sign, pero que nunca crearon una cuenta ellos mismos, exponiendo específicamente sus nombres y direcciones de correo electrónico.

La investigación realizada hasta ahora no ha descubierto evidencia de que los atacantes hayan accedido al contenido de las cuentas de los usuarios, como acuerdos o plantillas, o su información de pago. Se dice que el incidente también está restringido a la infraestructura de Dropbox Sign.

Se cree que los atacantes obtuvieron acceso a una herramienta de configuración automatizada de Dropbox Sign y comprometieron una cuenta de servicio que forma parte de la infraestructura de Sign, explotando los privilegios elevados de la cuenta para acceder a su base de datos de clientes.

Sin embargo, la empresa no reveló cuántos clientes se vieron afectados por el hackeo, pero dijo que está en proceso de comunicarse con todos los usuarios afectados junto con «instrucciones paso a paso» para proteger su información.

«Nuestro equipo de seguridad también restableció las contraseñas de los usuarios, cerró la sesión de los usuarios en cualquier dispositivo al que estuvieran conectados a Dropbox Sign, y está coordinando la rotación de todas las claves API y tokens de OAuth», dijo.

Dropbox también dijo que está cooperando con las autoridades policiales y reguladoras en el asunto. El análisis adicional del incidente sigue en curso.

Este es el segundo incidente de este tipo que afecta a Dropbox en dos años. En noviembre de 2022, la empresa reveló que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub.

Tags :