Dropbox ha informado sobre una filtración de datos que afecta a los usuarios de Dropbox Sign, el servicio de firma electrónica de la empresa, donde los hackers lograron acceder a tokens de autenticación, claves MFA, contraseñas encriptadas e información de usuarios.
La compañía de alojamiento en la nube, Dropbox, ha sido el blanco de actores de amenazas desconocidos, específicamente en su plataforma de firma electrónica Dropbox Sign (anteriormente conocida como HelloSign). En una presentación ante la Comisión de Valores y Bolsa de los Estados Unidos (SEC), Dropbox reveló que descubrió un “acceso no autorizado” el 24 de abril de 2024.
La adquisición de HelloSign por parte de Dropbox fue anunciada en enero de 2019. Tras una exhaustiva investigación interna, la empresa confirmó que los atacantes lograron acceder a una variedad de información sensible. Según Dropbox, “el actor de amenazas accedió a datos relacionados con todos los usuarios de Dropbox Sign, como direcciones de correo electrónico y nombres de usuario, así como configuraciones generales de cuenta. Para ciertos usuarios, también se obtuvieron números de teléfono, contraseñas hash e información de autenticación como claves API, tokens OAuth y autenticación multifactor”. Esta situación es alarmante, ya que afecta no solo a los usuarios con cuentas activas en Dropbox Sign, sino también a aquellos que han interactuado con la plataforma sin haber creado una cuenta. A pesar de que Dropbox asegura que no se accedió a documentos o acuerdos de los usuarios, la exposición de información personal y la posibilidad de contraseñas comprometidas plantean serias preocupaciones sobre la seguridad de los datos.
En respuesta al incidente, Dropbox ha tomado medidas inmediatas para reducir el impacto de la brecha de seguridad. Todas las contraseñas de los usuarios han sido restablecidas, se han cerrado todas las sesiones activas en Dropbox Sign y se han cambiado todas las claves API y tokens OAuth. Además, la empresa está notificando a todos los usuarios afectados y ha puesto a disposición recursos para ayudar a fortalecer la seguridad digital. Según el comunicado de Dropbox, los atacantes aprovecharon una campaña de phishing dirigida a empleados para obtener acceso a las credenciales de GitHub.
Aunque Dropbox aseguró que no se accedió a contenido, contraseñas ni información de pago, se vieron comprometidos nombres y direcciones de correo electrónico de empleados y clientes. Esta brecha es el segundo incidente de este tipo que afecta a Dropbox en dos años. En noviembre de 2022, la empresa reveló que fue víctima de una campaña de phishing que permitió a actores desconocidos obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub. Este incidente destaca la importancia de la seguridad cibernética y la necesidad de una mayor concienciación sobre el phishing entre los empleados de las organizaciones.
Más información:
- https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign
- https://www.securityweek.com/dropbox-data-breach-impacts-customer-information/
- https://thehackernews.com/2024/05/dropbox-discloses-breach-of-digital.html?m=1
- https://dropbox.gcs-web.com/news-releases/news-release-details/dropbox-acquire-hellosign
- https://securityaffairs.com/137975/hacking/dropbox-account-hacked-2fa-jpg.html
- https://www.bleepingcomputer.com/news/security/dropbox-says-hackers-stole-customer-data-auth-secrets-from-esignature-service/
Comentarios recientes