Dropbox ha riferito che un hacker ha ottenuto l'accesso non autorizzato ai sistemi del software Sign, precedentemente noto come HelloSign. Gli aggressori sono riusciti ad accedere a diversi dati personali, ma non alle firme. Le persone interessate verranno avvisate tramite e-mail.

Lo scrive l'azienda L'attacco informatico è avvenuto il 24 aprile, durante il quale gli hacker hanno avuto accesso all'”ambiente di produzione” di Dropbox Sign. Attraverso uno strumento di configurazione automatizzata del sistema, la terza parte ha ottenuto l'accesso al backend del software utilizzando un “account non umano” compromesso.

A seconda di come gli utenti interagiscono con Dropbox Sign, diversi dati personali potrebbero essere stati compromessi. Ad esempio, gli utenti che non disponevano di un account avevano accesso ai propri indirizzi e-mail e nomi. Gli utenti con l'account avevano anche accesso non autorizzato a numeri di telefono, password con hash, chiavi API e token di autenticazione. Dropbox sottolinea che ciò riguarda solo le informazioni sull'account, non i contenuti creati negli accessi a questi account, comprese firme digitali e documenti.

L'azienda reimposta automaticamente le password e richiede ai client API di generare nuove chiavi API. Anche gli utenti che utilizzano l'autenticazione a più fattori dovranno reimpostare questa funzionalità.