Falla critica nel servizio di firma elettronica di Dropbox

Dropbox ha recentemente rivelato una violazione della sicurezza che ha interessato Dropbox Sign, il suo servizio di firma elettronica precedentemente noto come HelloSign. Il 24 aprile 2024, è stato rilevato un accesso non autorizzato agli strumenti di configurazione del sistema utilizzati per la gestione di Dropbox Sign. Gli hacker sono riusciti ad utilizzare questi strumenti per esercitare controlli automatizzati con privilegi elevati, ottenendo così l'accesso al database dei clienti della piattaforma.

Dettagli sulla fuga di informazioni

Le indagini ulteriori hanno chiarito l'ampiezza della fuga di dati, mostrando che gli attaccanti sono entrati in possesso di dati sensibili degli utenti di Dropbox Sign. Questi includono email, nomi utente, numeri di telefono e password protette da hashing. Inoltre, sono stati compromessi dettagli critici relativi alla sicurezza come chiavi API, token OAuth e dati di autenticazione multi-fattore (MFA).

Rischi estesi anche agli utenti non registrati

Più allarmante è il fatto che non solo gli account registrati su Dropbox Sign sono stati colpiti. Anche individui che hanno utilizzato il servizio per firmare documenti senza creare un account hanno avuto i loro dettagli di contatto, come indirizzi email e nomi, esposti. Fortunatamente, non ci sono state indicazioni che i documenti firmati o le informazioni di pagamento siano stati accessibili dagli hacker.

Misure adottate e raccomandazioni per gli utenti

Per contenere l'incidente, Dropbox ha immediatamente azzerato le password degli utenti, chiuso tutte le sessioni attive di Dropbox Sign e limitato l'uso delle chiavi API. Attualmente, stanno notificando tutti gli utenti colpiti tramite email. Consigliano inoltre agli utenti di rimanere vigili su possibili tentativi di phishing che potrebbero sfruttare le informazioni rubate per ottenere ulteriori dati sensibili.