Hakerzy włamali się do usługi podpisu elektronicznego Dropbox Sign, co doprowadziło do wycieku na dużą skalę danych osobowych użytkowników, w tym imion i nazwisk, numerów telefonów i zaszyfrowanych haseł.
Dropbox, twórca popularnej usługi przechowywania plików w chmurze, ogłosił, że jego usługa elektronicznego podpisywania dokumentów Dropbox Sign, wcześniej znana jako HelloSign, została zhakowana. Jak podano na oficjalnym blogu firmy, napastnicy uzyskali niedawno nieautoryzowany dostęp do wewnętrznej infrastruktury Dropbox Sign. W rezultacie wyciekły informacje o użytkownikach usługi, w tym adresy e-mail, nazwy użytkowników, numery telefonów, zaszyfrowane hasła, a także klucze API, tokeny dostępu i dane uwierzytelniania wieloskładnikowego.
Ujawniono także dane użytkowników (adresy e-mail i nazwiska), którzy otrzymali lub podpisali dokumenty wyłącznie za pośrednictwem Dropbox Sign, ale nie zarejestrowali konta. Według firmy informacje dotyczące płatności ani treść podpisanych dokumentów nie zostały naruszone.
Na podstawie wyników śledztwa wyszło na jaw, że napastnicy włamali się na jedno z kont usług służących do automatycznego zarządzania infrastrukturą i za jego pośrednictwem uzyskali dostęp do bazy danych użytkowników Dropbox Sign.
W odpowiedzi na incydent zespół ds. bezpieczeństwa Dropbox zresetował hasła użytkowników Dropbox Sign, unieważnił tokeny dostępu, zainicjował rotację kluczy kryptograficznych i rozesłał instrukcje do osób, których to dotyczy, w celu dalszej ochrony ich danych.
Jak zapewniła firma, incydent dotknął jedynie infrastrukturę usługi Dropbox Sign i nie miał wpływu na inne produkty i usługi Dropbox, w tym na popularny magazyn plików w chmurze. Jednak ten incydent rodzi poważne wątpliwości, czy Dropbox chce zapewnić bezpieczeństwo poufnych danych swoich klientów. Firma obiecała przeprowadzić dokładne dochodzenie w sprawie incydentu i podjąć dodatkowe działania, aby zapobiec podobnym zdarzeniom w przyszłości.