Aanbieder van cloudopslagdiensten Dropbox maakte woensdag bekend dat Dropbox Sign (voorheen HelloSign) werd geschonden door niet-geïdentificeerde bedreigingsactoren, die toegang hadden tot e-mails, gebruikersnamen en algemene accountinstellingen die verband hielden met alle gebruikers van het digitale handtekeningproduct.
Het bedrijf zei in een aanvraag bij de Amerikaanse Securities and Exchange Commission (SEC) dat het op 24 april 2024 op de hoogte was van de “ongeoorloofde toegang”. Dropbox maakte in januari 2019 zijn plannen bekend om HelloSign over te nemen.
“De bedreigingsacteur had toegang gekregen tot gegevens met betrekking tot alle gebruikers van Dropbox Sign, zoals e-mails en gebruikersnamen, naast de algemene accountinstellingen”, staat er in de Form 8-K-aanvraag.
“Voor subsets van gebruikers heeft de bedreigingsacteur ook toegang gekregen tot telefoonnummers, gehashte wachtwoorden en bepaalde authenticatie-informatie zoals API-sleutels, OAuth-tokens en multi-factor authenticatie.”
Erger nog, de inbraak treft ook derden die een document hebben ontvangen of ondertekend via Dropbox Sign, maar nooit zelf een account hebben aangemaakt, waarbij met name hun naam en e-mailadres openbaar zijn gemaakt.
Onderzoek dat tot nu toe is uitgevoerd, heeft geen bewijs opgeleverd dat de aanvallers toegang hebben gekregen tot de inhoud van gebruikersaccounts, zoals overeenkomsten of sjablonen, of hun betalingsinformatie. Het incident zou ook beperkt zijn tot de Dropbox Sign-infrastructuur.
Er wordt aangenomen dat de aanvallers toegang hebben gekregen tot een geautomatiseerde systeemconfiguratietool van Dropbox Sign en een serviceaccount hebben gecompromitteerd dat deel uitmaakt van de backend van Sign, waarbij gebruik wordt gemaakt van de verhoogde rechten van het account om toegang te krijgen tot de klantendatabase.
Het bedrijf maakte echter niet bekend hoeveel klanten door de hack werden getroffen, maar zei dat het bezig is om alle getroffen gebruikers te bereiken, samen met “stapsgewijze instructies” om hun informatie te beschermen.
“Ons beveiligingsteam heeft ook de wachtwoorden van gebruikers gereset, gebruikers afgemeld van alle apparaten die ze met Dropbox Sign hadden verbonden, en coördineert de rotatie van alle API-sleutels en OAuth-tokens”, aldus het rapport.
Dropbox zei ook dat het in deze kwestie samenwerkt met wetshandhavings- en regelgevende instanties. Verdere analyse van de inbreuk is nog gaande.
De inbreuk is het tweede dergelijke incident binnen twee jaar dat zich op Dropbox richt. In november 2022 maakte het bedrijf bekend dat het het slachtoffer was van een phishing-campagne waarmee niet-geïdentificeerde dreigingsactoren ongeoorloofde toegang konden krijgen tot 130 van zijn broncodeopslagplaatsen op GitHub.