Dropbox ha confirmat que ha patit una bretxa de seguretat que ha afectat Sign, el seu servei de signatura digital conegut anteriorment com a HelloSign. Sembla que un grup de hackers ha aprofitat aquesta escletxa per obtenir diversa informació d’usuaris de Dropbox Sign. Entre les dades a les quals han aconseguit accedir hi ha adreces de correu electrònic, noms d’usuari i números de telèfon.

La companyia ha comentat que es va adonar de l’existència de la bretxa el 24 d’abril passat. L’accés no autoritzat a Sign es va produir a través de l’entorn de producció del servei, probablement a partir de l’eina de configuració del sistema. A partir d’aquell moment, Dropbox va prendre les mesures necessàries per limitar l’abast de la bretxa i contenir-la, i després en va informar a les autoritats reguladores i als cossos de seguretat pertinents. A més a més, s’han començat a posar en contacte amb els afectats que necessitin prendre mesures per protegir l’accés als seus comptes i a les seves dades.

Dropbox ha reinicialitzat també totes les contrasenyes d’usuaris del servei i ha desconnectat els usuaris els dispositius dels quals estaven connectats a Dropbox Sign, amb l’objectiu que hagin de canviar obligatòriament les claus d’accés per tornar-hi a accedir. A més a més, està coordinant la rotació de totes les claus d’API i tokens d’OAuth.

Els responsables de la companyia han confirmat que van descobrir que els autors de l’atac «havien accedit a dades relacionades amb tots els usuaris de Dropbox Sign, com adreces electròniques i noms d’usuari, així com a la configuració general dels comptes. En el cas d’alguns grups d’usuaris, també van aconseguir veure números de telèfon, contrasenyes xifrades i diversa informació d’autenticació i accés als comptes, com claus d’API, tokens d’OAuth i autenticació de múltiples factors».

Per a l’atac «van comprometre un compte del servei que formava part del fons de Sign, que és un tipus de compte no humà utilitzat per executar aplicacions i serveis automatitzats. Com a tal, el compte tenia privilegis per prendre diferents mesures en l’entorn de producció de Sign. L’atacant va fer servir després aquest accés al voltant de producció per accedir a la base de dades de clients».

Ara per ara, segons Dropbox, no hi ha evidències que els hackers hagin aconseguit informació sobre comptes d’usuari o dades de pagament. A part de Dropbox Sign, no hi ha indicis que la bretxa hagi afectat altres productes i serveis de la companyia. Fins ara es desconeix quants usuaris de Sign han resultat afectats, i no es creu que la bretxa tingui cap efecte en les finances de Dropbox.