Threats
Uma violação de dados ao Dropbox Sign resultou no acesso do invasor a informações dos clientes da empresa, como endereços de email, números de telefone e palavras-passe
03/05/2024
|
A Dropbox comunicou esta semana que uma violação de dados ao Sign, o serviço de assinatura eletrónica da empresa, afetou os seus clientes, cujos endereços de email e palavras-passe com hash foram acedidos pelos invasores. Anteriormente conhecido como HelloSign, o Dropbox Sign é um serviço que permite aos utilizadores enviar, receber e gerir assinaturas eletrónicas juridicamente vinculativas. Segundo a empresa, o cibercriminoso obteve acesso ao ambiente de produção do Sign, conseguindo aceder a informações dos clientes, como endereços de email, usernames, números de telefone, palavras-passe com hash, dados sobre configurações gerais da conta e dados de autenticação, como chaves de API, tokens OAuth e autenticação multifator. Ainda que os utilizadores tenham apenas recebido ou assinado um documento através do Sign sem criar uma conta, os seus nomes e endereços de email foram comprometidos. Ainda não há indicação das informações de pagamento ou ficheiros de clientes (documentos ou contratos assinados) que foram acedidas. A violação de dados foi descoberta no dia 24 de abril e, atualmente, está em andamento uma investigação. Até ao momento não há evidências de que outros produtos da Dropbox tenham sido afetados. O cibercriminoso terá conseguido obter acesso a uma ferramenta automatizada de configuração do sistema, segundo determinou a Dropbox. “O ator comprometeu uma conta de serviço que fazia parte do backend do Sign, que é um tipo de conta não humana utilizada para executar aplicações e serviços automatizados. Como tal, esta conta tinha privilégios para realizar diversas ações no ambiente de produção do Sign. O agente da ameaça utilizou então esse acesso ao ambiente de produção para aceder ao nosso banco de dados de clientes”, explica a empresa. Como resposta ao incidente, a empresa está a proceder à notificação dos utilizadores visados, terminando a sessão do serviço Sign e redefinindo as suas palavras-passe, chaves de API e tokens OAuth. Além disto, a Dropbox aconselha os clientes que recorrem a uma aplicação de autenticação para MFA a redefini-la, bem como a alterar as suas passwords noutros serviços online onde a palavra-passe do Sign é reutilizada. A Dropbox foi alvo de um ataque de phishing em 2022. Em novembro desse ano, a empresa comunicou que um agente de ameaça obteve acesso ao código-fonte e às informações pessoais de clientes e colaboradores. |
Receba todas as novidades na sua caixa de correio!
THREATS
Microsoft corrige falhas de segurança críticas em RCE e zero day
THREATS
HPE corrige vulnerabilidades críticas em access points Aruba
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
NEWS
Ciberataques exigem mais de sete meses para recuperação total
NEWS
EUA lançam framework para utilização de IA em infraestruturas críticas
THREATS
Uso de anexos SVG cresce em emails de phishing para evitar a deteção
THREATS
Simuladores de movimento do rato são possíveis ciberameaças
THREATS
Cibercriminosos atacam vítimas na Europa com malware Strela Stealer
THREATS
Microsoft confirma exploração de vulnerabilidade zero-day
THREATS
Falha crítica em plugin do WordPress expôs mais de quatro milhões de sites
