Dropbox divulga violação de serviço de assinatura digital que afeta todos os usuários
![dropbox sign](https://i0.wp.com/blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS19R9R74AYS4WuYsaqsqsOJcxhX5dQr8ljEj9Ev9kry_2e_9O1sMMKKc5NyJeUkWVa368VL_99g_x6v-rAEpc5JsZwpZ3xRGfXwzKwhjSg-naw-6zc8cJUDfHZFm4_efUzERKtPKaJhZopIEFCqfU4WQGfaVm_Hr8wsX-2ObwHrDjIhkKpOstta_K-Gtq/s728-rw-e365/dropbox-sign.png?w=780&resize=780,470&ssl=1)
![Assinatura digital do Dropbox Assinatura digital do Dropbox](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhS19R9R74AYS4WuYsaqsqsOJcxhX5dQr8ljEj9Ev9kry_2e_9O1sMMKKc5NyJeUkWVa368VL_99g_x6v-rAEpc5JsZwpZ3xRGfXwzKwhjSg-naw-6zc8cJUDfHZFm4_efUzERKtPKaJhZopIEFCqfU4WQGfaVm_Hr8wsX-2ObwHrDjIhkKpOstta_K-Gtq/s728-rw-e365/dropbox-sign.png)
O provedor de serviços de armazenamento em nuvem Dropbox divulgou na quarta-feira que o Dropbox Signal (anteriormente HelloSign) foi violado por agentes de ameaças não identificados, que acessaram e-mails, nomes de usuário e configurações gerais de conta associadas a todos os usuários do produto de assinatura digital.
A empresa, em documento enviado à Comissão de Valores Mobiliários dos EUA (SEC), disse que tomou conhecimento do “acesso não autorizado” em 24 de abril de 2024. O Dropbox anunciou seus planos de adquirir o HelloSign em janeiro de 2019.
“O agente da ameaça acessou dados relacionados a todos os usuários do Dropbox Signal, como e-mails e nomes de usuário, além de configurações gerais da conta”, afirmou no formulário 8-Ok.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuUUskkMH9dUT3LF77_Q_irGuaE4LGjp-Am2Ls_UzGJ5EBnZHfuFiSvKs4OPE5KmfedBHcuZZVHS4Bh48UJx8brpwtg6Vr2Gepbaw-lGMIm9HjUhyphenhyphen2W5DVm5-ymwPS691Ie32TrCqFIv6SxNRA-jOKCKZrOB5dV7BfL0zVAhOO0neNkP9yv-XePBU1hN_0/s728-e365/wing-d.png)
“Para subconjuntos de usuários, o agente da ameaça também acessou números de telefone, senhas com hash e certas informações de autenticação, como chaves de API, tokens OAuth e autenticação multifator”.
Pior ainda, a intrusão também afeta terceiros que receberam ou assinaram um documento através do Dropbox Signal, mas nunca criaram uma conta, expondo especificamente seus nomes e endereços de e-mail.
A investigação conduzida até agora não revelou nenhuma evidência de que os invasores tenham acessado o conteúdo das contas dos usuários, como contratos ou modelos, ou suas informações de pagamento. O incidente também está restrito à infraestrutura do Dropbox Signal.
Acredita-se que os invasores tenham obtido acesso a uma ferramenta automatizada de configuração de sistema do Dropbox Signal e comprometido uma conta de serviço que faz parte do back-end do Signal, explorando os privilégios elevados da conta para acessar seu banco de dados de clientes.
A empresa, no entanto, não revelou quantos clientes foram afetados pelo hack, mas disse que está em processo de chegar a todos os usuários afetados juntamente com “instruções passo a passo” para proteger suas informações.
“Nossa equipe de segurança também redefiniu as senhas dos usuários, desconectou os usuários de todos os dispositivos que eles conectaram ao Dropbox Signal e está coordenando a rotação de todas as chaves de API e tokens OAuth”, afirmou.
![Cíber segurança](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg_WRs2jRYPNRPdVnIJ52g0Zo3TY_c0FSwk8ZZN085hqm-nXig4b7WIZCpqdHexadU4EmZ402vX1EghcAxIZGa9lwLkWAPPYzPbg1gc5UZCbvTtOHQ3ozwiQAgJ1ahKFoOp8SZl-JN8_URGwiu9aTe5U2wiVHGEetM-S7kKkmgPMNdL_83d5HTJrLm7iBp6/s728-e365/cis-d.png)
O Dropbox também disse que está cooperando com autoridades policiais e reguladoras sobre o assunto. Uma análise mais aprofundada da violação continua em andamento.
A violação é o segundo incidente desse tipo que atinge o Dropbox em dois anos. Em novembro de 2022, a empresa divulgou que foi vítima de uma campanha de phishing que permitiu que agentes de ameaças não identificados obtivessem acesso não autorizado a 130 de seus repositórios de código-fonte no GitHub.