Dropbox ha revelado una filtración de datos que afecta a los clientes de Dropbox Sign, el servicio de firma electrónica de la compañía, donde los ciberatacantes obtuvieron acceso a tokens de autenticación, claves MFA, contraseñas cifradas e información de usuarios.
Dropbox, la empresa de alojamiento en la nube, ha sido el último objetivo de actores de amenazas no identificados, con su plataforma de firma electrónica Dropbox Sign (anteriormente HelloSign).
En una presentación ante la Comisión de Valores y Bolsa de los Estados Unidos (SEC), Dropbox informó que se dio cuenta del «acceso no autorizado» el 24 de abril de 2024. Dropbox anunció sus planes de adquirir HelloSign en enero de 2019. Tras una investigación interna exhaustiva, la compañía confirmó que los atacantes pudieron acceder a una variedad de información sensible.
«El actor de amenazas accedió a datos relacionados con todos los usuarios de Dropbox Sign, como correos electrónicos y nombres de usuario, además de configuraciones de cuenta generales. Para subconjuntos de usuarios, el actor de amenazas también accedió a números de teléfono, contraseñas hash e información de autenticación como claves API, tokens OAuth y autenticación multifactor», reveló la empresa.
La situación es preocupante, ya que afecta no solo a los usuarios que tienen cuentas activas en Dropbox Sign, sino también a aquellos que han interactuado con la plataforma sin haber creado una cuenta. Aunque Dropbox asegura que no se accedió a los documentos o acuerdos de los usuarios, la exposición de información personal y la potencialidad de contraseñas comprometidas plantean serias preocupaciones sobre la seguridad de los datos.
En respuesta al incidente, Dropbox ha tomado medidas inmediatas para mitigar el impacto de la brecha de seguridad. Todas las contraseñas de los usuarios han sido restablecidas, se ha cerrado la sesión de todas las sesiones activas en Dropbox Sign y se han rotado todas las claves API y tokens OAuth. Además, la empresa está notificando a todos los usuarios afectados y ha puesto a disposición una serie de recursos para ayudar a los usuarios a fortalecer su seguridad digital.
Según el aviso de Dropbox, reveló que los atacantes aprovecharon una campaña de phishing dirigida a empleados de Dropbox para obtener acceso a las credenciales de GitHub. Aunque Dropbox aseguró que no se accedió a contenido, contraseñas ni información de pago, se vieron comprometidos nombres y direcciones de correo electrónico de empleados y clientes.
La brecha es el segundo incidente de este tipo que afecta a Dropbox en dos años. En noviembre de 2022, la compañía reveló que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub.
Este incidente subraya la importancia de la seguridad informática y la necesidad de una mayor conciencia sobre el phishing entre los empleados de las organizaciones.
Más información:
- https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign
- https://www.securityweek.com/dropbox-data-breach-impacts-customer-information/
- https://thehackernews.com/2024/05/dropbox-discloses-breach-of-digital.html?m=1
- https://dropbox.gcs-web.com/news-releases/news-release-details/dropbox-acquire-hellosign
- https://securityaffairs.com/137975/hacking/dropbox-account-hacked-2fa-jpg.html
- https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/
La entrada Dropbox revela una brecha en el servicio de firma digital que afecta a todos los usuarios se publicó primero en Una al Día.