Dropbox hacked: colpito il popolarissimo servizio di storage in cloud. Gli attaccanti hanno messo le mani sui token di autenticazione, le chiavi MFA, gli hash password del servizio DropBox Sign.
DropBox hacked: l’azienda ha comunicato di aver subito una violazione dei sistemi
DropBox, il popolarissimo servizio di storage in cloud, ha dichiarato pubblicamente di aver subito un data breach. In particolare i cyber attaccanti avrebbero violato i sistemi della piattaforma di firma elettronica DropBox Sign. Questo servizio, chiamato in precedenza HelloSign, consente agli utenti l’invio di documenti online con firma elettronica legalmente valida.
L’azienda ha spiegato di aver individuato un accesso non autorizzato nei sistemi di produzione di DropBox Sign il 24 Aprile e di aver immediatamente avviato le necessarie indagini e analisi. Proprio l’indagine svolta sui sistemi ha consentito all’azienda di scoprire il punto di accesso degli attaccanti ovvero un tool di configurazione automatica del sistema DropBox Sign. Tool che fa parte dei servizi backend della piattaforma.
“A seguito di indagini approfondite, abbiamo scoperto che gli attaccanti hanno avuto accesso a i dati, comprese informazoni relative ai clienti DropBox Sign come email, username, numeri di telefono, hash delle password oltre alle impostazioni generali degli account e alcune informazioni di autenticazione quali le chiavi API, i token OAuth e l’autenticazione multifattore”.
Specificando inoltre come siano stati esposti anche i dati di coloro che utilizzano la piattaforma eSignature senza aver però registrato un account. In questi casi gli attaccanti possono comunque aver messo le mani su dati come l’account email e il nome dell’utente.
Sei un utente DropBox Sign? Cosa fare
DropBox ha già fatto sapere di aver proceduto al reset delle password di tutti gli utenti, sloggando anche tutte le sessioni aperte su DropBox Sign. Hanno anche limitato l’uso delle chiavi API finché i clienti non procederanno a sostituirle. Qui le indicazioni fornite dall’azienda su come sostituire le chiavi API.
Coloro che utilizzano l’autenticazione multifattore per accedere a DropBox Sign dovrebbero invece eliminare la configurazione della propria app di autenticazione e riconfigurarla con nuovi chiavi MFA recuperate dal sito web.
Ulteriore invito è quello di prestare estrema attenzione alle campagne di phishing. E’ molto probabile che gli utenti DropBox Sign possano subire campagne di phishing. I responsabili di questi data breach molto spesso utilizzano i dati rubati proprio allo scopo di lanciare le campagne di phishing e rubare altri dati (ad esempio le password in chiaro) oppure per rivenderli a soggetti terzi. Un tentativo di phishing piuttosto scontato potrebbe essere infatti quello di inviare agli utenti email apparentemente provenieni da DropBox Sign che invitano a cambiare password. Sconsigliamo assolutamente agli utenti di seguire link contenuti in email simili: l’invio è, al contrario, a loggare su DropBox Sign e procedere al reset della password dal sito web.
Dropbox hacked: era già successo nel 2022
Questo non è il primo data breach subito da DropBox. Nel Novembre 2022 l’azienda scoprì che alcuni attaccanti avevano avuto accesso e rubato 130 repository contenenti codice. L’accesso abusivo è avvenuto in conseguenza della violazione di alcuni account GitHub in uso ad una serie di dipendenti che avevano subito il furto di credenziali con campagne di phishing.
“La nostra indagine ci ha permesso di scoprire che il codice sul quale gli attaccanti hanno messo le mani conteneva anche alcune credenziali – principalmente chiavi API – usate dagli sviluppatori di DropBox”
dichiarava al tempo l’azienda