El hackeo de Dropbox Sign filtra datos de los usuarios, lo que genera preocupaciones de seguridad en la industria de la firma electrónica


En un duro golpe a la confianza de los usuarios, Dropbox ha revelado una brecha de seguridad en su plataforma de firma electrónica Dropbox Sign (anteriormente conocida como HelloSign).

El entorno de Dropbox Sign contenía datos de clientes, incluidos nombres de usuario, direcciones de correo electrónico y otros detalles, a los que la empresa confirmó en una publicación de blog que una entidad desconocida y no autorizada accedió.

Dropbox dijo en una publicación de blog que se enteró del incidente el 24 de abril. “Una investigación más detallada reveló que el actor de la amenaza tenía acceso a la información del cliente de Dropbox Sign (correo electrónico, nombre de usuario, número de teléfono, contraseñas hash, etc.), así como a la configuración general de la cuenta, claves API, tokens OAuth, autenticación multifactor, etc. “Descubrimos que se accedió a los datos que contienen las credenciales del usuario”, agrega la publicación.

La compañía también reconoció que los nombres y direcciones de correo electrónico de los clientes que nunca crearon una cuenta con Dropbox Sign pero que “recibieron o firmaron documentos a través de Dropbox Sign” también se vieron comprometidos.

“No hemos encontrado evidencia de acceso no autorizado al contenido de la cuenta del cliente (como documentos y contratos) o información de pago”, dijo la compañía.

“Desde un punto de vista técnico, la infraestructura de Dropbox Sign es en gran medida independiente de otros servicios de Dropbox. Dicho esto, hemos investigado a fondo este riesgo y este incidente es. “Creemos que esto se limita a la infraestructura y no afecta a otros productos de Dropbox”, intentó la compañía. para asegurar a los usuarios en una publicación de blog.

Los clientes expresan preocupaciones

Dropbox dijo que tomó medidas inmediatas al descubrir la infracción y “inició una investigación con investigadores forenses líderes en la industria para comprender lo que sucedió y reducir el riesgo para nuestros usuarios”.

La investigación reveló que “un tercero tuvo acceso a las herramientas de configuración del sistema automatizado de Dropbox Sign”. “El autor comprometió una cuenta de servicio que forma parte del backend de Dropbox Sign. Este es un tipo de cuenta no humana utilizada para ejecutar aplicaciones y servicios automatizados”.

Luego, el actor de amenazas utilizó este “acceso al entorno de producción” para “acceder a nuestra base de datos de clientes”, dijo la compañía.

La compañía confirmó en una publicación de blog que está restableciendo las contraseñas de los usuarios, desconectándolos de todas las sesiones y dispositivos activos y “ajustando la rotación de todas las claves API y tokens OAuth”. La compañía también notifica a los usuarios sobre la infracción por correo electrónico y brinda instrucciones sobre cómo proteger sus cuentas y cambiar sus contraseñas.

Sin embargo, el incidente generó preocupación entre los usuarios sobre la seguridad de los datos y las posibles consecuencias de una violación.

“Como empresa de contratación y consultoría, confiamos en plataformas seguras como Dropbox Sign para gestionar información confidencial sobre nuestros candidatos y clientes, especialmente cuando documentos confidenciales como currículums y contratos pueden verse comprometidos. “La noticia de esta violación es inquietante dada su naturaleza. de la violación de datos”, afirmó Charu Bindlish, director de la firma de contratación con sede en India Advaita Bedanta Consultants.

Bindlish dijo que la violación resalta una vez más la necesidad de protocolos de seguridad sólidos dentro de estas plataformas. “Sin embargo, nos alienta el compromiso de Dropbox de abordar este problema y mejorar sus prácticas de seguridad. Ahora tenemos una comprensión clara de esta infracción y de los pasos que podemos tomar para evitar incidentes similares en el futuro. Lo espero con ansias”.

El mercado de vehículos comerciales MotorFloor expresó preocupaciones similares. “Dependemos en gran medida de Dropbox para almacenar y compartir documentos de forma segura con nuestros clientes y socios”, afirmó el fundador de MotorFloor, Subrat Kar.

La violación es preocupante, especialmente teniendo en cuenta el reciente aumento de los ciberataques, afirmó. “Sin embargo, esperamos que Dropbox aprenda de este incidente e implemente medidas de seguridad más sólidas para recuperar la confianza. Necesitamos soluciones de almacenamiento en la nube en las que podamos confiar, y Dropbox está comprometido a brindar una seguridad cibernética sólida, ya que creo que tiene el potencial de ser la solución. siempre y cuando le demos prioridad”.

Impacto en la industria de la firma electrónica

La filtración de información personal de los usuarios de Dropbox se produce en un momento en el que las empresas de firma electrónica están experimentando un rápido crecimiento debido a la proliferación del trabajo remoto y la necesidad de firmar documentos sin contacto.

“Este desarrollo resalta la importancia crítica de medidas de seguridad sólidas en las aplicaciones de firma electrónica para garantizar la confianza del usuario”, dijo Neil Shah, vicepresidente de investigación y socio de Counterpoint Research.

“A medida que empresas como Dropbox crecen hasta alcanzar cientos de millones de usuarios, necesitan fortalecer la seguridad en todos los frentes, especialmente para las empresas que adquieren. La integración de las empresas adquiridas siempre es un desafío, y es más probable que se produzcan lagunas de seguridad. .”

En cuanto al uso de la IA en la ciberseguridad, Shah dijo: “Los próximos años se centrarán en cómo las empresas pueden aprender de manera más inteligente, predecir y frustrar a los actores maliciosos, y en la necesidad de estar al menos dos pasos por delante”.

En un esfuerzo por mantener la confianza de los usuarios, Dropbox reconoció sus deficiencias y se disculpó con los clientes por las molestias y el impacto que causó. “Tenemos altos estándares para proteger a nuestros clientes y su contenido. No cumplimos con esos estándares en este caso y nos disculpamos profundamente por el impacto que esto tuvo en nuestros clientes”, dijo la compañía en una publicación de blog.



Fuente: https://www.csoonline.com/article/2097486/dropbox-sign-hack-exposed-user-data-raises-security-concerns-for-e-sign-industry.html/amp/