DropBox ha informado que sus sistemas de producción de la plataforma de firma electrónica «DropBox Sign» fueron comprometidos por ciberdelincuentes. Los intrusos lograron acceder a tokens de autenticación, claves MFA, contraseñas encriptadas e información de los clientes.

DropBox Sign, anteriormente conocido como HelloSign, es una plataforma que permite enviar documentos en línea para obtener firmas legalmente vinculantes. La empresa detectó el acceso no autorizado el 24 de abril y ha iniciado una investigación.

Los atacantes lograron acceder a una herramienta de configuración automatizada en los sistemas de producción de «DropBox Sign», lo que les permitió ejecutar aplicaciones y servicios automatizados con privilegios elevados. Esto dio acceso a la base de datos del cliente, incluyendo correos electrónicos, nombres de usuario, números de teléfono y contraseñas encriptadas, así como información de autenticación como claves API y tokens OAuth.

La empresa tomó medidas, reestableciendo las contraseñas de los usuarios, cerrando todas las sesiones en «DropBox Sign» y restringiendo el uso de las claves API. Están proporcionando instrucciones sobre cómo rotar las claves API para recuperar los privilegios completos.

La compañía advierte a todos los clientes afectados, sobre posibles intentos de phishing utilizando la información comprometida. Recomiendan no seguir enlaces de correos electrónicos sospechosos y en su lugar, restablecer las contraseñas directamente desde el sitio web de «DropBox Sign».

Este incidente se suma a una brecha de seguridad del año 2022, donde se robaron 130 repositorios de código tras comprometer las cuentas de GitHub de DropBox, utilizando credenciales de empleados robadas.

Fuente:

DropBox says hackers stole customer data, auth secrets from eSignature service