Dropbox, el conocido servicio de almacenamiento en la nube, ha revelado que un hacker vulneró sus sistemas informáticos el 24 de abril, lo que resultó en la filtración de información confidencial, incluyendo contraseñas y datos de autentificación. El acceso no autorizado se produjo en Dropbox Sign, anteriormente conocido como HelloSign, una empresa adquirida por Dropbox en 2019 que permite la firma digital de documentos.
El hackeo comprometió la información de todos los usuarios de Dropbox Sign, incluyendo ajustes de cuenta, nombres, correos electrónicos y, en algunos casos, números de teléfono, contraseñas con hash, claves API y tokens OAuth. Sin embargo, hasta el momento no se ha encontrado evidencia de que se haya accedido al contenido de las cuentas de los usuarios o a datos de pago.
La empresa asegura que el incidente se limitó a la infraestructura de Dropbox Sign y no afectó a otros productos de Dropbox. También afirma que ha contratado a investigadores forenses y se ha notificado a las autoridades reguladoras. Aunque Dropbox no prevé un impacto “material” en sus operaciones o situación financiera, la compañía prevé posibles litigios y cambios en el comportamiento de los clientes debido al incidente.
Los clientes de la API de Dropbox Sign tendrán que generar nuevas claves de acceso, y tendrán restringidas temporalmente ciertas funciones. “Solo las solicitudes de firma y las capacidades de firma seguirán operativas para la continuidad de su negocio. Una vez que rotes tus claves API, se eliminarán las restricciones y el producto seguirá funcionando con normalidad”, afirma Dropbox.
La compañía está en proceso de notificar a los usuarios afectados y proporcionará ayuda al respecto. Este incidente se suma a anteriores problemas de seguridad de Dropbox, como una campaña de phishing en 2022 que permitió a un grupo de hackers acceder a cuentas de GitHub de la compañía, obteniendo información confidencial.
