Dropbox sufre una brecha que afecta a su servicio de firma electrónica

Dropbox ha confirmado que ha sufrido una brecha de seguridad que ha afectado a Sign, su servicio de firma digital conocido anteriormente como HelloSign. Al parecer, un grupo de hackers ha aprovechado esta brecha para hacerse con diversa información de usuarios de Dropbox Sign. Entre los datos a los que han conseguido acceder hay direcciones de correo electrónico, nombres de usuario y números de teléfonoc.

La compañía ha comentado que se dio cuenta de la existencia de la brecha el pasado 24 de abril. El acceso no autorizado a Sign se produjo a través del entorno de producción del servicio, probablemente a partir de la herramienta de configuración del sistema. A partir de entonces, Dropbox puso las medidas necesarias para limitar el alcance de la brecha y contenerla, y después informó de lo sucedido a las autoridades reguladoras y a los cuerpos de seguridad pertinentes. Además, han iniciado el contacto y comunicación de lo sucedido con los afectados que necesiten tomar medidas para proteger el acceso a sus cuentas y datos.

Dropbox ha reseteado también todas las contraseñas de usuarios del servicio, y ha desconectado a los usuarios cuyos dispositivos estaban conectados a Dropbox Sign, con el objetivo de que tengan obligatoriamente que cambiar las claves de acceso para volver a acceder a él. Además, está «coordinando la rotación de todas las claves de API y tokens de OAuth».

Los responsables de la compañía han confirmado que descubrieron que los autores del ataque han «accedido a datos relacionados con todos los usuarios de Dropbox Sign, como emails y nombres de usuarios, así como a los ajustes generales de las cuentas. En el caso de algunos grupos de usuarios también lograron ver números de teléfono, contraseñas cifradas y diversa información de autenticación y acceso a las cuentas, como claves de APIs, tokens de OAuth y autenticación en varios factores«.

Para el ataque «comprometieron una cuenta del servicio que formaba parte del backend de Sign, que es un tiepo de cuenta no humana utilizada para ejecutar aplicaciones y servicios automatizados. Como tal, la cuenta tenía privilegios para tomar diversas medidas en el entorno de producción de Sign. El atacante uso después este acceso al entorno de producción para acceder a la base de datos de clientes«.

Por ahora, según Dropbox, no hay evidencias de que los hackers hayan conseguido información sobre cuentas de usuario o datos de pagos. Aparte de Dropbox Sign, no hay indicios de que la brecha haya afectado a otros productos y servicios de la compañía. Por ahora se desconoce cuántos usuarios de Sign han resultado afectados, y no se cree que la brecha vaya a afectar a las finanzas de Dropbox.