El 24 de abril, Dropbox detectó un acceso no autorizado a los sistemas de producción de su oferta Sign. Adquisición de la start-up Hellosign en 2019 Por 230 millones de dólares, ofrece una plataforma de firma electrónica a los clientes del especialista en almacenamiento en la nube y compartición de documentos. La investigación de la editorial determinó que los cibercriminales obtuvieron acceso a una herramienta de configuración automatizada para el sistema de Sign.

Con este acceso consiguieron escaladas de privilegios y así abrieron las puertas a la base de datos de clientes. En su comunicación Dropbox detalla la diversa información afectada por esta filtración de datos: "correos electrónicos, nombres de usuario, números de teléfono y contraseñas cifradas, además de configuraciones generales de la cuenta". Más seriamente, la compañía agrega que "cierta información de autenticación, como claves API, tokens OAuth y MFA" se encuentran entre los datos comprometidos.

Restablecer todos los métodos de autenticación

En este momento, Dropbox afirma que no tiene conocimiento de ningún acceso no autorizado a los documentos y contratos de los clientes en la plataforma Sign, y que otros servicios de Dropbox se han visto afectados por el movimiento lateral. Como precaución, ha restablecido las contraseñas de todos los usuarios, ha cerrado todas las sesiones de Sign y ha restringido el uso de claves API hasta que el cliente las renueve. Aquellos que utilicen autenticación multifactor (MFA) deben eliminar la configuración de sus aplicaciones MFA y volver a configurarla con una clave MFA diferente obtenida del sitio web.

Dropbox ha advertido a los clientes afectados sobre el incidente y les ha instado a tener cuidado en las próximas semanas con las campañas de phishing. La empresa ya había sido víctima de un ataque en 2022 en el que los ciberdelincuentes se apoderaron de 130 repositorios de código al entrar en las cuentas de GitHub de la empresa utilizando credenciales robadas a los empleados.