341
A Dropbox Inc., empresa proprietária da plataforma de armazenamento e partilha de arquivos Dropbox, confirmou ter sofrido um ataque cibernético que resultou na violação dos sistemas de produção da DropBox Sign eSignature. Segundo a empresa, os hackers conseguiram ter acesso às chaves de autenticação multifactor, senhas com hash, informações de clientes e aos tokens de autenticação.
“Após uma investigação mais aprofundada, descobrimos que um agente de ameaça havia acessado dados, incluindo informações de clientes do Dropbox Sign, como e-mails, nomes de utilizadores, números de telefone e senhas com hash, além de configurações gerais da conta e certas informações de autenticação, como chaves de API, tokens de autenticação e autenticação multifactor”, informa a empresa em comunicado.
Em resposta, a Dropbox Inc. redefiniu as senhas dos utilizadores, desconectando-os de qualquer dispositivo ligado ao Dropbox Sign e continua até esta altura a coordenar a rotação de todas as chaves de API e tokens de autenticação. A empresa informa também que está a contactar todos os utilizadores afectados, com vista a ajudar-lhes a reforçarem a protecção dos seus dados.
A invasão foi identificada no dia 24 de Abril, mas foi divulgada apenas nesta quarta-feira (1). A empresa diz acreditar que o incidente foi isolado e não afectou nenhum outro produto Dropbox.
Aos utilizadores que receberam ou assinaram um documento pelo Dropbox Sign mas nunca criaram uma conta, a empresa esclarece que os endereços de e-mail e os nomes destes também foram expostos. No entanto, os que não configuraram uma senha na plataforma não foram afectados.
A Dropbox Inc. refere ainda no seu comunicado que não encontrou nenhuma evidência de acesso não autorizado aos conteúdos das contas dos clientes (documentos ou contratos) ou às suas informações de pagamento.