Dropbox avverte di una violazione che ha colpito Dropbox Sign

Dropbox ha pubblicato un report riguardante la violazione del servizio di firma elettronica Dropbox Sign. Cosa significa questo per gli utenti e cosa devono fare?

Dropbox ha pubblicato i risultati di un’indagine riguardante una violazione ai danni della sua infrastruttura. L’azienda non specifica quando l’incidente si sia effettivamente verificato, e si limita ad indicare che l’attacco è stato avvertito dai dipendenti dell’azienda il 24 aprile. In questo post, vi spieghiamo cosa è successo, quali dati sono stati divulgati e come proteggere se stessi e la propria azienda dalle conseguenze dell’incidente.

Hackeraggio di Dropbox Sign: come è avvenuto e quali dati sono stati rubati

Un gruppo di hacker non identificati è riuscito a compromettere l’account del servizio Dropbox Sign, ottenendo così l’accesso al meccanismo di configurazione automatica interna della piattaforma. Grazie a questo accesso, gli hacker sono riusciti a mettere le mani su un database che contiene informazioni sugli utenti di Dropbox Sign.

A causa di quesro attacco, sono stati rubati i seguenti dati degli utenti registrati sul servizio Sign:

  • nomi utente;
  • indirizzi e-mail;
  • numeri di telefono;
  • password (hash);
  • chiavi di autenticazione per l’API DropBox Sign;
  • token di autenticazione OAuth;
  • token di autenticazione a due fattori per SMS e applicazioni.

Se gli utenti del servizio hanno interagito con il servizio senza creare un account, sono stati divulgati solo i loro nomi e indirizzi e-mail.

Dropbox afferma di non aver riscontrato alcun segno di accesso non autorizzato ai contenuti degli account degli utenti, ovvero documenti e accordi, nonché informazioni sui pagamenti.

Come misura protettiva, Dropbox ha resettato le password di tutti gli account Dropbox Sign e ha interrotto tutte le sessioni attive, per cui sarà necessario accedere nuovamente al servizio e impostare una nuova password.

La violazione di Dropbox Sign riguarda tutti gli utenti di Dropbox?

Dropbox Sign, precedentemente noto come HelloSign, è una soluzione standalone basata sul cloud per la firma digitale, le cui funzionalità includono l’integrazione dei flussi di lavoro, utilizzata principalmente per firmare documenti elettronici. Gli analoghi più vicini a questo servizio sono DocuSign e Adobe Sign.

Come sottolinea l’azienda nella sua dichiarazione, l’infrastruttura di Dropbox Sign è “in gran parte separata dagli altri servizi Dropbox”. A giudicare dai risultati delle indagini dell’azienda, la violazione di Dropbox Sign è stato un incidente isolato e non ha interessato altri prodotti Dropbox. Pertanto, secondo le informazioni di cui disponiamo ora, non minaccia in alcun modo gli utenti del servizio principale dell’azienda, lo storage di file cloud Dropbox stesso. Questo vale anche per gli utenti il cui account Sign era collegato all’account Dropbox principale.

Cosa fare nel caso in cui il vostro account Dropbox Sign sia stato violato?

Dropbox ha già ripristinato le password per tutti gli account Dropbox Sign. Dovrete quindi cambiare la password in ogni caso. Si consiglia di utilizzare una password completamente nuova piuttosto che una versione leggermente modificata di quella vecchia. L’ideale sarebbe generare una lunga combinazione casuale di caratteri utilizzando un password manager e memorizzarla.

Dal momento che sono stati rubati anche i token di autenticazione a due fattori, è necessario resettare anche questi. Se avete usato gli SMS, il reset avviene automaticamente. Se invece avete usato un’applicazione, dovrete farlo voi stessi. A tal fine, è necessario eseguire nuovamente la procedura di registrazione dell’app di autenticazione con il servizio Dropbox Sign.

L’elenco dei dati rubati dagli hacker comprende anche le chiavi di autenticazione per l’API Dropbox Sign. Quindi, se la vostra azienda ha utilizzato questo strumento tramite l’API, dovete generare una nuova password.

Infine, se avete utilizzato la stessa password in altri servizi, dovreste cambiarla il prima possibile, soprattutto se era accompagnata dallo stesso nome utente, indirizzo e-mail o numero di telefono che avete specificato durante la registrazione a Dropbox Sign. Anche in questo caso, è conveniente utilizzare il nostro password manager, che, tra l’altro, fa parte della nostra soluzione di sicurezza per le piccole aziende.

 

Consigli