Hackers invadiram o serviço de assinatura eletrônica Dropbox Sign, resultando em um vazamento em grande escala de dados pessoais de usuários, incluindo nomes, números de telefone e senhas com hash.
Fonte da imagem: Kandinsky
Dropbox, desenvolvedor do popular serviço de armazenamento de arquivos em nuvem, anunciou que seu serviço de assinatura eletrônica de documentos Dropbox Sign, anteriormente conhecido como HelloSign, foi hackeado. Conforme relatado no blog oficial da empresa, os invasores obtiveram recentemente acesso não autorizado à infraestrutura interna do Dropbox Sign. Como resultado, as informações sobre os usuários do serviço foram comprometidas, incluindo endereços de e-mail, nomes de usuário, números de telefone, senhas com hash, bem como chaves de API, tokens de acesso e dados de autenticação multifatorial.
Também foram expostos dados de usuários (endereços de e-mail e nomes) que apenas receberam ou assinaram documentos por meio do Dropbox Sign, mas não registraram conta. As informações de pagamento e o conteúdo dos documentos assinados, segundo a empresa, não foram comprometidos.
Com base nos resultados da investigação, soube-se que os invasores hackearam uma das contas de serviço utilizadas para gerenciamento automatizado de infraestrutura e, por meio dela, obtiveram acesso ao banco de dados de usuários do Dropbox Sign.
Em resposta ao incidente, a equipe de segurança do Dropbox redefiniu as senhas dos usuários do Dropbox Sign, revogou tokens de acesso, iniciou a rotação de chaves criptográficas e enviou instruções às pessoas afetadas para proteger ainda mais seus dados.
Como garantiu a empresa, o incidente afetou apenas a infraestrutura do serviço Dropbox Sign e não afetou outros produtos e serviços do Dropbox, incluindo o popular armazenamento de arquivos em nuvem. No entanto, este incidente levanta sérias questões para o Dropbox garantir a segurança dos dados confidenciais de seus clientes. A empresa prometeu conduzir uma investigação completa sobre o incidente e tomar medidas adicionais para evitar incidentes semelhantes no futuro.