Dropbox ha reconocido un ‘hackeo’ que ha afectado al servicio de firma digital Dropbox Sign, por el que ha quedado expuesta la información de los usuarios, como correos electrónicos, números de teléfono y claves de inicio de sesión.
La compañía tecnológica inició una investigación tras detectar un acceso no autorizado en el entorno de producción de Dropbox Sign el 24 de abril. De ella concluyen inicialmente que no se ha visto afectado ningún otro producto, al tratarse de infraestructuras diferenciadas, pero sí que el actor malicioso ha tenido acceso a información de los usuarios.
En concreto, la tecnológica detalla en un comunicado el robo de datos como direcciones de correo electrónico, nombres de usuario, números de teléfono y contraseñas hash, pero también la configuración de la cuentas y elementos de inicio de sesión como las claves API, los tokens Oauth y la autenticación multifactor.
GOOGLE, EL CORTAFUEGOS DE DROPBOX SIGN
Esta exposición de datos también afecta a los usuarios que pese a no haber creado una cuenta usaron el servicio para la firma de documentos electrónicos. En el caso de los usuarios con cuenta, quienes tuvieran habilitado el inicio de sesión con otro servicio, por ejemplo, con la cuenta de Google, no han sufrido el robo de su contraseña. Los documentos firmados y la información de pago tampoco han quedado expuestos.
El actor malicioso accedió al entorno de producción de Sign tras hacerse con el control de una herramienta de configuración de sistema automatizada, que tiene privilegios sobre una gran variedad de acciones, incluido el acceso a la base de datos de los usuarios.
En respuesta, Dropbox ha informado a los afectados de lo sucedido, ofreciendo una guía de los pasos que deben dar para asegurar su información. También han reseteado las contraseñas de las cuentas y cerrado la sesiones de los usuarios que tuvieran la cuenta abierta en distintos dispositivos, y han coordinado una rotación de las claves API y los tokens Oauth.