O serviço de hospedagem de arquivos Dropbox confirmou que hackers invadiram o ambiente de produção do Dropbox Sign e acessaram informações pessoais e de autenticação dos clientes.
Segundo o Dropbox - “Do ponto de vista técnico, a infraestrutura do Dropbox Sign é separada de outros serviços do Dropbox. Dito isso, investigamos minuciosamente esse risco e acreditamos que esse incidente foi isolado da infraestrutura do Dropbox Sign e não afetou nenhum outro produto do Dropbox”.
Dropbox Sign (antigo HelloSign) é uma plataforma que permite aos usuários assinar documentos online.
A empresa disse que - “Em 24 de abril, tomamos conhecimento de acesso não autorizado ao ambiente de produção do Dropbox Sign (antigo HelloSign)”.
“Com base em nossa investigação, um terceiro obteve acesso a uma ferramenta automatizada de configuração de sistema do Dropbox Sign. O hacker comprometeu uma conta de serviço que fazia parte do back-end do Sign, esta conta tinha privilégios para realizar uma variedade de ações dentro do ambiente de produção da Sign.”
Os hackers exploraram o acesso que obtiveram ao ambiente de produção do Dropbox Sign para acessar o banco de dados do cliente.
Os hackers tiveram acesso às seguintes informações:
Informações da conta e do cliente do Dropbox Sign: endereços de e-mail, nomes de usuário, números de telefone e senhas com hash, além de configurações gerais da conta.
Informações de autenticação: chaves de API, tokens OAuth e autenticação multifator.
Os endereços de e-mail e nomes de usuários que receberam ou assinaram um documento por meio do Dropbox Sign (mas não possuem uma conta na plataforma) também foram expostos. As senhas dos clientes do Dropbox Sign que se inscreveram por meio de login único não foram expostas.
“Não encontramos nenhuma evidência de acesso não autorizado ao conteúdo das contas dos usuários (ou seja, seus documentos ou contratos)”, afirma o Dropbox, embora a investigação esteja em andamento e isso possa mudar.
O Dropbox está notificando os clientes afetados e os aconselhando a redefinir suas senhas, alternar chaves de API, alterar suas senhas em outras contas se reutilizarem a mesma senha usada para o Dropbox Sign e redefinir a entrada do aplicativo autenticador. (“Se você usa SMS, não precisa realizar nenhuma ação.”)
O Dropbox expirou as senhas expostas e desconectou os usuários dos dispositivos usados para se conectar ao Dropbox Sign, restringiu certas funcionalidades das chaves de API até que os clientes as alternassem e está analisando este incidente “para entender melhor como isso aconteceu e para se proteger contra esse tipo de ameaça no futuro.”
As autoridades policiais e reguladoras (incluindo a SEC) foram notificadas do incidente. (“Se você usa SMS, não precisa realizar nenhuma ação.”) O Dropbox expirou as senhas expostas e desconectou os usuários dos dispositivos usados para se conectar ao Dropbox Sign, restringiu certas funcionalidades das chaves de API até que os clientes as alternassem e está analisando este incidente “para entender melhor como isso aconteceu e para se proteger contra esse tipo de ameaça no futuro.” As autoridades policiais e reguladoras (incluindo a SEC ) foram notificadas do incidente.
Via - Help Net Security
Comments