La società di archiviazione cloud DropBox ha annunciato che gli hacker hanno violato il sistema del suo servizio di firma elettronica DropBox Sign. Questi hanno ottenuto l'accesso a token di autenticazione, chiavi MFA, hash delle password e altre informazioni sui clienti. DropBox Sign (in precedenza HelloSign) è un servizio di firma elettronica che consente ai clienti di inviare documenti online per ricevere firme legalmente vincolanti. L'azienda afferma di aver rilevato un accesso non autorizzato ai sistemi di produzione di DropBox Sign il 24 aprile e di aver avviato un'indagine. Da questa indagine è emerso che gli autori delle minacce hanno avuto accesso a uno strumento di configurazione automatizzata del sistema Dropbox Sign, che fa parte dei servizi backend della piattaforma. Questo strumento di configurazione ha consentito all'aggressore di eseguire applicazioni e servizi automatizzati con privilegi elevati, consentendo all'aggressore di accedere al database dei clienti.
DropBox: nessun furto di dati da altri servizi
L’attacco hacker a Dropbox potrebbe avere delle conseguenze serie per gli utenti. In un post sul proprio blog, l’azienda ha rivelato diversi dettagli: “dopo ulteriori indagini, abbiamo scoperto che un autore di minacce aveva avuto accesso ai dati, comprese le informazioni sui clienti di Dropbox Sign come e-mail, nomi utente, numeri di telefono e hash delle password, oltre alle impostazioni generali dell'account e ad alcune informazioni di autenticazione come chiavi API, token OAuth e autenticazione a più fattori”. Anche i nomi e gli indirizzi e-mail degli utenti che hanno usato il servizio senza registrare account sono stati esposti all’attacco. L'azienda afferma di non aver trovato prove che gli autori delle minacce abbiano avuto accesso ai documenti o agli accordi dei clienti. Inoltre, gli autori delle minacce non avuto accesso alle piattaforme di altri servizi DropBox.
DropBox afferma di aver reimpostato le password degli utenti, disconnesso tutte le sessioni su DropBox Sign. Inoltre, ha limitato il modo in cui le chiavi API possono essere utilizzate fino a quando non vengono ruotate dal cliente. La società ha fornito ulteriori informazioni nell'avviso di sicurezza su come ruotare le chiavi API per ricevere nuovamente privilegi completi. Chi utilizza MFA con DropBox Sign deve eliminare la configurazione dalle proprie app di autenticazione e riconfigurarla con una nuova chiave MFA recuperata dal sito web. L’azienda sta attualmente inviando un'e-mail a tutti i clienti coinvolti. I clienti di DropBox Sign dovrebbero prestare attenzione a potenziali campagne di phishing che utilizzano questi dati per raccogliere informazioni sensibili. Nel caso si dovesse ricevere un’e-mail da DropBox Sign per reimpostare la password, la società ricorda di non cliccare su nessun link. Per eseguire tale operazione è consigliato visitare il sito ufficiale e farlo manualmente.