Dropbox is facing a serious security crisis after its electronic signature product, Dropbox Sign, was the victim of a large-scale data breach. Discovered on April 24, the incident appears to have granted hackers illegal access to sensitive information of several users of the service.
According to initial investigations, hackers managed to compromise an automatic system configuration tool in the Dropbox Sign infrastructure, thus gaining access to high privileges and the customer database. This exposed a wide range of information, including emails, usernames, phone numbers, and even encrypted passwords. For some users, attackers may have also obtained sensitive authentication tokens such as API keys and OAuth tokens, used to access and manage accounts and services.
Dropbox Sign under hacker attack: user data at risk
«On April 24, we became aware of unauthorized access to the production environment of Dropbox Sign (formerly HelloSign)», Dropbox wrote on its own blog.«After further investigation, we discovered that a threat actor had accessed data including customer information from Dropbox Sign such as emails, usernames, phone numbers, encrypted passwords, as well as general account settings and some authentication information like API keys, OAuth tokens, and multi-factor authentication.»
Dropbox responded swiftly, immediately resetting passwords and disconnecting connected devices. The company also stated that there is no evidence of a possible breach on other proprietary platforms besides Sign, nor does it appear that user payment data has been compromised. Relevant authorities have already been contacted to initiate an investigation to determine the full extent of the breach and identify those responsible.
We do not yet know the exact number of affected users, but it is expected that the breach has had a significant impact on several service customers worldwide. Dropbox is reaching out to all potentially affected users, and has promised further details as they are revealed through ongoing investigations.
Translated content in Spanish:
Dropbox se enfrenta a una grave crisis de seguridad después de que su producto de firma electrónica, Dropbox Sign, fuera víctima de una violación de datos a gran escala. Descubierto el 24 de abril, el incidente parece haber otorgado a los hackers acceso ilegal a información sensible de varios usuarios del servicio.
Según las investigaciones iniciales, los hackers lograron comprometer una herramienta de configuración automática del sistema en la infraestructura de Dropbox Sign, obteniendo así acceso a altos privilegios y a la base de datos de clientes. Esto expuso una amplia gama de información, incluyendo correos electrónicos, nombres de usuario, números de teléfono e incluso contraseñas cifradas. Para algunos usuarios, los atacantes también pudieron haber obtenido tokens de autenticación sensibles como claves API y tokens OAuth, utilizados para acceder y gestionar cuentas y servicios.
Dropbox Sign bajo ataque de hackers: datos de usuarios en riesgo
«El 24 de abril nos enteramos de un acceso no autorizado al entorno de producción de Dropbox Sign (anteriormente HelloSign)», escribió Dropbox en su propio blog.«Después de una investigación adicional, descubrimos que un actor de amenazas había accedido a datos que incluían información de clientes de Dropbox Sign como correos electrónicos, nombres de usuario, números de teléfono, contraseñas cifradas, así como configuraciones generales de cuenta e información de autenticación como claves API, tokens OAuth y autenticación de múltiples factores.»
Dropbox respondió rápidamente, restableciendo de inmediato las contraseñas y desconectando los dispositivos conectados. La compañía también afirmó que no hay evidencia de una posible violación en otras plataformas propietarias además de Sign, ni parece que se hayan comprometido los datos de pago de los usuarios. Las autoridades pertinentes ya han sido contactadas para iniciar una investigación para determinar la extensión total de la violación e identificar a los responsables.
Aún no sabemos el número exacto de usuarios afectados, pero se espera que la violación haya tenido un impacto significativo en varios clientes del servicio en todo el mundo. Dropbox está contactando a todos los usuarios potencialmente afectados, y ha prometido más detalles a medida que se revelen a través de las investigaciones en curso.
