Dropbox ha annunciato l’attacco e la successiva violazione da parte di un gruppo hacker dei sistemi di produzione della sua piattaforma di firma elettronica, Dropbox Sign. Gli aggressori hanno ottenuto l’accesso a token di autenticazione, dati per l’autenticazione a più fattori (MFA), password con hash e informazioni sui clienti.

L’attacco a Dropbox Sign

Precedentemente conosciuta come HelloSign, Dropbox Sign è una piattaforma che consente ai clienti di archiviare, inviare e firmare documenti online con firme legalmente vincolanti.

Il 24 aprile 2024, Dropbox ha rilevato un accesso non autorizzato ai sistemi di produzione di Dropbox Sign e ha avviato un’indagine interna. È emerso che gli hacker hanno sfruttato uno strumento automatizzato per la configurazione del sistema Dropbox Sign, che fa parte dei servizi backend della piattaforma.

Attraverso questo strumento, i cybecriminali sono stati in grado di eseguire applicazioni e servizi automatizzati con privilegi elevati, che hanno permesso loro di accedere al database dei clienti. Dropbox ha dichiarato che dopo ulteriori indagini è stato scoperto che gli aggressori hanno ottenuto l’accesso a dati, comprese le informazioni sui clienti di Dropbox Sign. Tra questi dati c’erano e-mail, nomi utente, numeri di telefono, password con hash, impostazioni generali dell’account e alcuni dati di autenticazione come chiavi API, token OAuth e MFA.

Impatti dell’attacco e le azioni intraprese

Non sono stati colpiti solo gli account registrati a Dropbox Sign. Anche le persone che hanno utilizzato la piattaforma senza creare un account hanno subito la divulgazione di nomi e indirizzi mail. Dropbox ha tuttavia assicurato di non aver trovato prove che gli aggressori abbiano avuto accesso a documenti, accordi o informazioni sui pagamenti dei clienti. Ha inoltre sottolineato che l’infrastruttura di Dropbox Sign è in gran parte separata dagli altri servizi Dropbox.

L’azienda ha quindi reimpostato tutte le password degli utenti, terminato tutte le sessioni di Dropbox Sign e limitato l’uso delle chiavi API. Ha inoltre inviato un’e-mail a tutti gli utenti interessati dall’incidente.

È importante che i clienti di Dropbox Sign siano cauti riguardo a possibili campagne di phishing che potrebbero utilizzare i dati rubati per raccogliere ulteriori informazioni sensibili come le password.

Vuoi mantenere i tuoi dati aziendali al sicuro? Affidati a dei professionisti con oltre vent’anni di esperienza: scegli Assitech per la sicurezza dei tuoi sistemi.