O provedor de serviços de armazenamento em nuvem Dropbox divulgou na quarta-feira que o Dropbox Signal (anteriormente HelloSign) foi violado por agentes de ameaças não identificados, que acessaram e-mails, nomes de usuário e configurações gerais de conta associadas a todos os usuários do produto de assinatura digital.
A empresa, em documento enviado à Comissão de Valores Mobiliários dos EUA (SEC), disse que tomou conhecimento do “acesso não autorizado” em 24 de abril de 2024. O Dropbox anunciou seus planos de adquirir o HelloSign em janeiro de 2019.
“O agente da ameaça acessou dados relacionados a todos os usuários do Dropbox Signal, como e-mails e nomes de usuário, além de configurações gerais da conta”, afirmou no formulário 8-Ok.
“Para subconjuntos de usuários, o agente da ameaça também acessou números de telefone, senhas com hash e certas informações de autenticação, como chaves de API, tokens OAuth e autenticação multifator”.
Pior ainda, a intrusão também afeta terceiros que receberam ou assinaram um documento através do Dropbox Signal, mas nunca criaram uma conta, expondo especificamente seus nomes e endereços de e-mail.
A investigação conduzida até agora não revelou nenhuma evidência de que os invasores tenham acessado o conteúdo das contas dos usuários, como contratos ou modelos, ou suas informações de pagamento. O incidente também está restrito à infraestrutura do Dropbox Signal.
Acredita-se que os invasores tenham obtido acesso a uma ferramenta automatizada de configuração de sistema do Dropbox Signal e comprometido uma conta de serviço que faz parte do back-end do Signal, explorando os privilégios elevados da conta para acessar seu banco de dados de clientes.
A empresa, no entanto, não revelou quantos clientes foram afetados pelo hack, mas disse que está em processo de chegar a todos os usuários afetados juntamente com “instruções passo a passo” para proteger suas informações.
“Nossa equipe de segurança também redefiniu as senhas dos usuários, desconectou os usuários de todos os dispositivos que eles conectaram ao Dropbox Signal e está coordenando a rotação de todas as chaves de API e tokens OAuth”, afirmou.
O Dropbox também disse que está cooperando com autoridades policiais e reguladoras sobre o assunto. Uma análise mais aprofundada da violação continua em andamento.
A violação é o segundo incidente desse tipo que atinge o Dropbox em dois anos. Em novembro de 2022, a empresa divulgou que foi vítima de uma campanha de phishing que permitiu que agentes de ameaças não identificados obtivessem acesso não autorizado a 130 de seus repositórios de código-fonte no GitHub.
