A empresa de armazenamento em nuvem DropBox afirma que hackers violaram sistemas de produção de sua plataforma DropBox Sign eSignature e obtiveram acesso a tokens de autenticação, chaves MFA (autenticação multifator), senhas com hash e informações de clientes.
O DropBox Sign (anteriormente chamado HelloSign) é uma plataforma de assinatura eletrônica que permite aos clientes enviar documentos online para receber assinaturas juridicamente vinculativas. A empresa afirma ter detectado acesso não autorizado aos sistemas de produção do DropBox Sign em 24 de abril e iniciou uma investigação.
A investigação constatou que os operadores da ameaça obtiveram acesso a uma ferramenta automatizada de configuração do sistema Dropbox Sign, que faz parte dos serviços de back-end da plataforma. Essa ferramenta de configuração permitiu que o hacker executasse aplicativos e serviços automatizados com privilégios elevados, permitindo que acessasse o banco de dados dos clientes.
“Após uma investigação mais aprofundada, descobrimos que um operador de ameaça acessou dados, incluindo informações de clientes do Dropbox Sign, como e-mails, nomes de usuário, números de telefone e senhas com hash, além de configurações gerais da conta e certas informações de autenticação, como chaves de API, tokens OAuth e autenticação multifator”, diz a empresa. Segundo ela, mesmo os usuários que utilizaram a plataforma de assinatura eletrônica, mas não registraram uma conta, tiveram os endereços de e-mail e nomes expostos.
A DropBox afirma não ter encontrado nenhuma evidência de que o operador da ameaça teve acesso a documentos ou acordos de clientes ou tenha acessado as plataformas de outros serviços DropBox.
A empresa diz que redefiniu as senhas de todos os usuários, desconectou todas as sessões do DropBox Sign e restringiu a forma como as chaves de API podem ser usadas até que sejam rotacionadas pelo cliente. Ela forneceu também informações adicionais no comunicado de segurança sobre como alternar as chaves de API para o usuário receber privilégios totais novamente.
Veja isso
Dropbox é usado para ignorar MFA em campanha de phishing
Dropbox é usado para roubo de credenciais via phishing
Aqueles que utilizam autenticação multifator no DropBox Sign devem excluir a configuração de seus aplicativos autenticadores e reconfigurá-la com uma nova chave MFA recuperada do site. O DropBox afirma que atualmente está enviando e-mails para todos os clientes que foram afetados pelo incidente.
Por enquanto, os clientes do DropBox Sign devem estar atentos a possíveis campanhas de phishing que utilizam esses dados para coletar informações confidenciais, como senhas em texto simples. Se receber um e-mail do DropBox solicitando a redefinição de sua senha, o cliente não deve seguir nenhum link do e-mail. Em vez disso, deve acessar o DropBox Sign diretamente e redefinir sua senha no site.
Em 2022, o Dropbox revelou uma violação de segurança depois que operadores de ameaças roubaram 130 repositórios de código ao violar as contas GitHub da empresa usando credenciais roubadas de funcionários.