El popular proveedor de almacenamiento en la nube Dropbox ha sufrido una importante brecha de seguridad que afecta a todos los usuarios de su plataforma de firma electrónica Dropbox Sign (anteriormente HelloSign).
Dropbox entró en el mercado de la firma electrónica en 2019 al adquirir HelloSign, que tiene 80.000 clientes, por 230 millones de dólares. La compañía reportó ingresos de 2.500 millones de dólares en 2023.
Según una presentación 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC), Dropbox detectó “acceso no autorizado” el 24 de abril de 2024.
La empresa, con sede en San Francisco, California, inició una respuesta al incidente para contenerlo, mitigar su impacto e iniciar una investigación para determinar su alcance. También restablecimos las contraseñas de los usuarios, cerramos la sesión de los dispositivos conectados y comenzamos a rotar todas las claves API y tokens OAuth.
Según la investigación, el proveedor de almacenamiento en la nube cree que los actores de amenazas comprometieron las herramientas de configuración del sistema automatizado de Dropbox Sign y obtuvieron permiso para ejecutar la aplicación en el entorno de producción de firma electrónica.
“El atacante comprometió una cuenta de servicio que forma parte del backend de Sign. Este es un tipo de cuenta no humana utilizada para ejecutar aplicaciones y servicios automatizados”, dijo la compañía en su sitio web como se indica en la notificación de violación de datos publicada en .
Luego, los actores de amenazas utilizaron su acceso para comprometer la base de datos de clientes de Dropbox y acceder a información personal como correo electrónico, nombres de usuario, números de teléfono y configuraciones de cuenta.
La violación de seguridad afecta a todos los usuarios de Dropbox Sign eSignature
Dropbox ha determinado que la brecha de seguridad afectó a todos los usuarios de su plataforma de firma electrónica, incluidos aquellos sin cuentas.
“Una investigación más profunda reveló que los actores de amenazas tenían acceso a datos relacionados con todos los usuarios de Dropbox Sign, incluidos el correo electrónico y los nombres de usuario, además de la configuración general de la cuenta”, dijo Dropbox a la SEC.
En algunos casos, los actores de amenazas obtuvieron acceso a “credenciales específicas como números de teléfono, contraseñas hash, claves API, tokens OAuth y autenticación multifactor”.
“Esta violación es particularmente significativa porque las claves API y los tokens OAuth se vieron comprometidos”, dijo Ray Kelly, miembro del Synopsys Software Integrity Group. “Las claves API suelen ser estáticas y no cambian, lo que permite a las organizaciones automatizar procesos relacionados con los servicios. Si estas claves se ven comprometidas, los actores malintencionados pueden obtener acceso a servicios confidenciales o causar daños financieros a la víctima”.
Dropbox reveló que una violación de seguridad de su plataforma de firma electrónica también expuso los nombres y direcciones de correo electrónico de personas que “recibieron o firmaron documentos a través de Dropbox Sign pero nunca crearon una cuenta”.
Sin embargo, la investigación de Dropbox encontró que los actores de amenazas “nunca tuvieron acceso a ningún contenido de las cuentas de los usuarios, incluidos acuerdos, plantillas o información de pago”.
Las empresas utilizan plataformas de firma electrónica como Dropbox Sign para enviar documentos confidenciales como contratos, acuerdos y transacciones. Si esa información se filtra, podría tener un impacto significativo en las operaciones de una empresa y exponerla a diversos riesgos cibernéticos.
“La pérdida de información y credenciales de los clientes de Dropbox Sign representa un riesgo para los usuarios de este sistema”, dijo Jason Soroko, vicepresidente senior de productos de Sectigo. “Las personas que utilizan firmas electrónicas normalmente están capacitadas para seguir un proceso, pero desafortunadamente esto puede ser una ventaja para un atacante que obtiene su información de contacto”.
Nathaniel Jones, director de Amenazas Estratégicas y Compromiso de Darktrace, advirtió que la brecha de seguridad de Dropbox Sign podría extenderse más allá de los usuarios afectados.
“El impacto podría extenderse al ecosistema empresarial. Los empleados reutilizan constantemente las contraseñas en las numerosas aplicaciones y herramientas en las que inician sesión, por lo que los detalles filtrados podrían abrir puntos de entrada a otros servicios en la nube.
Mientras tanto, Dropbox ha contratado a los mejores expertos forenses para ayudar a comprender el alcance de la violación de seguridad de su plataforma de firma electrónica. También hemos notificado a los organismos encargados de hacer cumplir la ley y a los reguladores de privacidad.
La compañía también planea contactar a los usuarios de firma electrónica afectados y brindarles “instrucciones paso a paso” para proteger su información.
Otros servicios de Dropbox no afectados por la brecha de seguridad
Dropbox no ha revelado cuántos usuarios se vieron afectados por la violación de seguridad de la firma electrónica. En 2022, la empresa tenía 17,37 millones de clientes de pago, principalmente pequeñas y medianas empresas, y 700 millones de usuarios registrados.
Sin embargo, el proveedor de servicios de almacenamiento en la nube afirma que la violación de seguridad se limitó a su infraestructura Dropbox Sign, que está separada de otros servicios de Dropbox.
“Además, creemos que este incidente estuvo aislado en la infraestructura de Dropbox Sign y no hay evidencia de que los actores de la amenaza tuvieran acceso a los entornos operativos de otros productos de Dropbox. Continuamos investigando”.
Como resultado, es poco probable que este incidente tenga un impacto material en la situación financiera o el desempeño de la empresa. Sin embargo, Dropbox anticipa “posibles litigios, cambios en el comportamiento de los clientes y un escrutinio regulatorio adicional”.
Los proveedores de servicios de almacenamiento en la nube también lamentan profundamente haber perdido la confianza de los clientes al no proteger su información.
“Tenemos altos estándares en la protección de nuestros clientes y su contenido. No pudimos cumplir con esos estándares en esta ocasión y nos disculpamos profundamente por el impacto que esto tuvo en nuestros clientes”, se disculpó la compañía.
Dropbox ha sido víctima de un ciberataque dos veces en dos años. En noviembre de 2022, el proveedor de almacenamiento en la nube fue víctima de un ataque de phishing que comprometió 130 repositorios de código fuente de GitHub.
Fuente: https://www.cpomagazine.com/cyber-security/dropbox-sign-esignature-platforms-security-breach-impacts-all-users-even-those-without-accounts/