Dropbox revela una brecha en el servicio de firma digital que afecta a todos los usuarios
Dropbox ha revelado una filtración de datos que afecta a los clientes de Dropbox Sign, el servicio de firma electrónica de la compañía, donde los ciberatacantes obtuvieron acceso a tokens de autenticación, claves MFA, contraseñas cifradas e información de usuarios. La empresa en cuestión ha sido el último objetivo de actores de amenazas no identificados, con su plataforma de firma electrónica Dropbox Sign (anteriormente HelloSign).
En una presentación ante la Comisión de Valores y Bolsa de los Estados Unidos (SEC), Dropbox informó que se dio cuenta del «acceso no autorizado» el 24 de abril de 2024. Dropbox anunció sus planes de adquirir HelloSign en enero de 2019. Tras una investigación interna exhaustiva, la compañía confirmó que los atacantes pudieron acceder a una variedad de información sensible. «El actor de amenazas accedió a datos relacionados con todos los usuarios de Dropbox Sign, como correos electrónicos y nombres de usuario, además de configuraciones de cuenta generales. Para subconjuntos de usuarios, el actor de amenazas también accedió a números de teléfono, contraseñas hash e información de autenticación como claves API, tokens OAuth y autenticación multifactor», reveló la empresa.
La situación es preocupante, ya que afecta no solo a los usuarios que tienen cuentas activas en Dropbox Sign, sino también a aquellos que han interactuado con la plataforma sin haber creado una cuenta. Aunque Dropbox asegura que no se accedió a los documentos o acuerdos de los usuarios, la exposición de información personal y la potencialidad de contraseñas comprometidas plantean serias preocupaciones sobre la seguridad de los datos.
Dropbox ha respondido rápidamente al reciente incidente de seguridad tomando medidas como restablecer todas las contraseñas de los usuarios y cerrar sesiones activas. El incidente ocurrió debido a una campaña de phishing dirigida a empleados de Dropbox, que permitió a los atacantes obtener acceso a credenciales de GitHub. Aunque no se accedió a contenido sensible, nombres y direcciones de correo electrónico fueron comprometidos. Este es el segundo incidente de seguridad de este tipo para Dropbox en dos años.
Este incidente subraya la importancia de la seguridad informática y la necesidad de una mayor conciencia sobre el phishing entre los empleados de las organizaciones.
