O Dropbox compartilhou os resultados de uma investigação sobre um ataque maliciosos em sua infraestrutura. A empresa não especifica quando o incidente realmente ocorreu, informando apenas que o ataque foi percebido pelos funcionários da empresa no dia 24 de abril. Aqui, explicaremos o que aconteceu, quais dados foram vazados e como proteger você e sua empresa das consequências deste incidente.
Hack do Dropbox Sign: como aconteceu e quais dados foram roubados
Invasores não identificados conseguiram comprometer a conta de serviço do Dropbox Sign e, assim, obter acesso ao mecanismo interno de configuração automática da plataforma. Usando esse acesso, os hackers conseguiram obter um banco de dados que contém informações sobre os usuários do Dropbox Sign.
Como resultado, foram roubados os seguintes dados de usuários cadastrados do serviço Sign:
- nomes de usuário;
- endereços de e-mail;
- números de telefone;
- senhas (com hash);
- chaves de autenticação para a API DropBox Sign;
- Tokens de autenticação OAuth;
- SMS e tokens de autenticação de dois fatores de aplicativos.
Para os usuários do serviço que apenas realizaram ações, sem necessariamente terem criado uma conta, o vazamento ficou restrito a seus nomes e endereços de e-mail.
O Dropbox afirma não ter encontrado sinais de acesso não autorizado ao conteúdo das contas dos usuários – ou seja, documentos e acordos, bem como informações de pagamento.
Como medida de proteção, o Dropbox redefiniu as senhas de todas as contas do Dropbox Sign e encerrou todas as sessões ativas, então você terá que fazer login novamente e definir uma nova senha quando for acessar sua conta.
O ataque ao Dropbox Sign afeta todos os usuários do Dropbox?
Dropbox Sign, anteriormente conhecido como HelloSign, é uma ferramenta autônoma de fluxo de trabalho de documentos em nuvem do Dropbox, usada principalmente para assinar documentos eletrônicos. Outros com funcionalidades similares são DocuSign e Adobe Sign.
Como a empresa enfatiza em seu comunicado, a infraestrutura do Dropbox Sign é “em grande parte separada de outros serviços do Dropbox”. A julgar pelos resultados da investigação da empresa, a invasão do Dropbox Sign foi um incidente isolado e não afetou outros produtos da empresa. Assim, de acordo com as informações que temos agora, não existe ameaça aos usuários do principal serviço da empresa, o próprio armazenamento de arquivos em nuvem Dropbox. Isso também se aplica às pessoas cuja conta Sign estava vinculada à conta principal do Dropbox.
O que você deve fazer a respeito do ataque ao Dropbox Sign?
O Dropbox já redefiniu as senhas de todas as contas do Dropbox Sign. Portanto, de toda forma, você terá que alterar a senha. Recomendamos usar uma senha completamente nova em vez de uma versão ligeiramente modificada da antiga. Idealmente, você deve gerar uma longa combinação aleatória de caracteres usando um gerenciador de senhas e utilizá-lo para armazená-la.
Como os tokens de autenticação de dois fatores também foram roubados, você também deve redefini-los. Se você usou SMS, a redefinição ocorreu automaticamente. E se você usou um aplicativo, terá que fazer isso manualmente. Para fazer isso, repita o processo de registro do seu aplicativo autenticador no serviço Dropbox Sign.
A lista de dados roubados por hackers também inclui chaves de autenticação para a API Dropbox Sign. Então se sua empresa utilizou essa ferramenta por meio da API, você precisa gerar uma nova chave.
Por fim, se você usou a mesma senha em qualquer outro serviço, você deve alterá-la o mais rápido possível – especialmente se ela estiver acompanhada do mesmo nome de usuário, endereço de e-mail ou número de telefone que você especificou ao se registrar no Dropbox Sign. Novamente, para isso é conveniente utilizar nosso Gerenciador de Senhas, que, aliás, faz parte de nossa solução de segurança para pequenas empresas.