Brecha de seguridad Dropbox y violación de datos.
Dropbox dice que los atacantes accedieron a la información del cliente y de MFA, así como a las claves de API.
El servicio de alojamiento de archivos Dropbox ha confirmado que los atacantes han violado el entorno de producción de Dropbox Sign y han accedido a la información personal y de autenticación de los clientes.
“Desde una perspectiva técnica, la infraestructura de Dropbox Sign está en gran medida separada de otros servicios de Dropbox. Dicho esto, investigamos a fondo este riesgo y creemos que este incidente se aisló en la infraestructura de Dropbox Sign y no afectó a ningún otro producto de Dropbox”, compartió la compañía el miércoles.
¿Cómo se vulneró Dropbox Sign?
Dropbox Sign (anteriormente HelloSign) es una plataforma que permite a los usuarios firmar documentos en línea.
“El 24 de abril, nos dimos cuenta del acceso no autorizado al entorno de producción de Dropbox Sign (anteriormente HelloSign)”, dijo la compañía.
“Según nuestra investigación, un tercero obtuvo acceso a una herramienta de configuración automatizada del sistema de Dropbox Sign. El actor comprometió una cuenta de servicio que formaba parte del back-end de Sign, que es un tipo de cuenta no humana que se utiliza para ejecutar aplicaciones y ejecutar servicios automatizados. Como tal, esta cuenta tenía privilegios para realizar una variedad de acciones dentro del entorno de producción de Sign”.
¿Qué información se ha visto comprometida?
Los atacantes aprovecharon el acceso que obtuvieron al entorno de producción de Dropbox Sign para acceder a la base de datos de clientes. Más concretamente, accedieron a:
- Información del cliente y de la cuenta de Dropbox Sign: direcciones de correo electrónico, nombres de usuario, números de teléfono y contraseñas con hash, y configuración general de la cuenta
- Información de autenticación: claves de API, tokens de OAuth y autenticación multifactor
También se han expuesto las direcciones de correo electrónico y los nombres de los usuarios que han recibido o firmado un documento a través de Dropbox Sign (pero que en realidad no tienen una cuenta). Las contraseñas de los clientes de Dropbox Sign que se registraron a través del inicio de sesión único no han quedado expuestas.
“No hemos encontrado evidencia de acceso no autorizado al contenido de las cuentas de los usuarios (es decir, sus documentos o acuerdos)”, dice Dropbox, aunque la investigación está en curso y eso podría cambiar.
Consejos para los clientes afectados
Dropbox notifica a los clientes afectados y les aconseja que restablezcan sus contraseñas, roten las claves de API, cambien su contraseña en otras cuentas si han reutilizado la misma contraseña que usaron para Dropbox Sign y restablezcan la entrada de la aplicación de autenticación. (“Si usas SMS, no necesitas realizar ninguna acción”).
Dropbox ha caducado las contraseñas expuestas y ha cerrado la sesión de los usuarios de los dispositivos que utilizaban para conectarse a Dropbox Sign, ha restringido ciertas funciones de las claves de API hasta que los clientes las roten y está revisando este incidente “para comprender mejor cómo sucedió esto y protegerse contra este tipo de amenaza en el futuro”.