Los usuarios del servicio de firma de documentos Dropbox Sign, hasta hace poco conocido como HelloSign, han sido alertados de una violación de datos que afecta su información después de que un actor de amenazas no revelado pirateara sus sistemas. Dropbox se dio cuenta por primera vez de que alguien había obtenido acceso no autorizado al entorno de producción de Dropbox Sign el 24 de abril, lo que sugiere que pudo haber tenido acceso antes de esto. Tras una investigación más exhaustiva, descubrió que se había accedido a datos de clientes, incluidas direcciones de correo electrónico, nombres de usuario, números de teléfono y contraseñas hash, así como a cierta información de autenticación, incluidas claves de interfaz de programación de aplicaciones (API), tokens OAuth y autenticación multifactor (MFA). Además, varias personas que recibieron o firmaron un documento a través de Dropbox Sign pero nunca crearon una cuenta tuvieron sus direcciones de correo electrónico y nombres expuestos. Sin embargo, aquellos que crearon una cuenta pero no configuraron una contraseña (por ejemplo, se registraron a través de una cuenta de Google) no almacenaron ni expusieron ninguna contraseña. Dropbox dijo que no había encontrado evidencia de acceso al contenido de las cuentas de los clientes o a la información de pago, y tampoco había encontrado que se hubiera accedido a ninguno de sus otros productos. Dropbox Sign, que fue adquirida en 2019, todavía se ejecuta en una infraestructura separada. La compañía ahora se está comunicando con los usuarios afectados con más información e instrucciones, y su equipo de seguridad llevó a cabo un restablecimiento forzado de contraseña y cerró la sesión de los usuarios en cualquier dispositivo que hubieran conectado a Dropbox Sign. Actualmente está trabajando para rotar todas las claves API y tokens OAuth. «Cuando nos dimos cuenta de este problema, iniciamos una investigación con investigadores forenses líderes en la industria para comprender lo que sucedió y mitigar los riesgos para nuestros usuarios», dijo la organización en una publicación de blog adjunta a un aviso de divulgación de la Comisión de Bolsa y Valores (SEC). . «Según nuestra investigación, un tercero obtuvo acceso a una herramienta de configuración del sistema automatizado de Dropbox Sign», continuó. “El actor comprometió una cuenta de servicio que formaba parte del backend de Sign, que es un tipo de cuenta no humana utilizada para ejecutar aplicaciones y servicios automatizados. Como tal, esta cuenta tenía privilegios para realizar una variedad de acciones dentro del entorno de producción de Sign. Luego, el actor de amenazas utilizó este acceso al entorno de producción para acceder a nuestra base de datos de clientes. “En Dropbox, nuestro valor número uno es ser dignos de confianza. Mantenemos un alto estándar a la hora de proteger a nuestros clientes y su contenido. No cumplimos con ese estándar aquí y lamentamos profundamente el impacto que causó a nuestros clientes”. Dropbox se está embarcando ahora en una “revisión exhaustiva” para comprender mejor exactamente qué sucedió, cómo y cómo protegerse mejor en el futuro. El jefe de respuesta a incidentes de Integrity360, Patrick Wragg, dijo que los usuarios de Dropbox Sign podrían pensar que tuvieron suerte porque las contraseñas a las que accedieron estaban codificadas, pero dado el compromiso de las claves API y otros datos de autenticación, todavía había motivos de preocupación. «Tomemos las claves API y los tokens OAuth, por ejemplo», dijo. “Podría decirse que son peores que una contraseña, ya que permiten un acceso programable y mediante secuencias de comandos a la instancia de Dropbox del propietario. En la mayoría de los casos, las claves API y los tokens OAuth se crean con un pretexto privilegiado, ya que se utilizan con fines de secuencias de comandos programables. «Por lo tanto, un actor de amenazas puede simplemente usar las claves/tokens para acceder a la cuenta de Dropbox sin un nombre de usuario, contraseña e incluso MFA». El director ejecutivo de Socura, Andy Kays, dijo: “Este parece un caso clásico de incumplimiento mediante adquisición. Cuando una empresa grande compra una más pequeña, puede generar importantes riesgos de seguridad. Los escenarios más comunes son que la empresa adquirida tenga vulnerabilidades, capacidades de seguridad limitadas o haya problemas de compatibilidad a medida que se integran productos, tecnologías, servicios y equipos. El hecho de que solo se haya violado el producto Dropbox Sign, no el negocio en general, sugiere que existía una brecha de seguridad en el producto HelloSign en el momento de la compra o que se desarrolló con el tiempo a medida que la empresa lo cambió y le cambió el nombre. «El hecho de que los adversarios tengan acceso a documentos confidenciales y a un servicio de firma ofrece enormes posibilidades de abuso, robo de identidad, fraude y compromiso del correo electrónico empresarial», afirmó. “Los usuarios de Dropbox deben actuar como si un atacante tuviera su firma y la capacidad de firmar documentos legales en su nombre. Deberían cambiar sus contraseñas y habilitar MFA inmediatamente”.