A provedora de serviços de armazenamento na nuvem Dropbox divulgou na última quarta-feira que o Dropbox Sign (anteriormente conhecido como HelloSign) foi violado por atores de ameaças não identificados, que acessaram e-mails, nomes de usuário e configurações gerais de conta associadas a todos os usuários do produto de assinatura digital.
A empresa, em um arquivamento junto à Comissão de Valores Mobiliários dos EUA (SEC), afirmou que tomou conhecimento do “acesso não autorizado” em 24 de abril de 2024. O Dropbox anunciou seus planos de adquirir o HelloSign em janeiro de 2019.
O ator de ameaça acessou dados relacionados a todos os usuários do Dropbox Sign, como e-mails e nomes de usuário, além de configurações gerais de conta. Para subconjuntos de usuários, o ator de ameaça também acessou números de telefone, senhas criptografadas e determinadas informações de autenticação, como chaves de API, tokens OAuth e autenticação de vários fatores.
A intrusão também afeta terceiros que receberam ou assinaram um documento por meio do Dropbox Sign, mas nunca criaram uma conta eles próprios, expondo especificamente seus nomes e endereços de e-mail. A investigação conduzida até o momento não encontrou evidências de que os invasores acessaram o conteúdo das contas dos usuários, como acordos ou modelos, ou suas informações de pagamento. O incidente também é dito estar restrito à infraestrutura do Dropbox Sign.