.png)
Hackeo de Dropbox Sign: correos electrónicos, contraseñas, claves API, etc. ¡Robado por el pirata!
¿Usas Dropbox? Malas noticias: un hacker logró entrar en el sistema de Dropbox Sign y robó la información correspondiente de los clientes de la empresa estadounidense. Echemos un vistazo.
Dropbox es mundialmente famoso por su servicio de almacenamiento y uso compartido de archivos en línea similar a OneDrive, Google Drive, etc. Sin embargo, este no es el único servicio que se ofrece, ya que existen otros, entre ellos Dropbox Sign. Anteriormente conocido como HelloSign, es un servicio de firma electrónica en línea. Es este servicio el que se ve afectado por el incidente de seguridad.
​
El 24 de abril de 2024, Dropbox detectó acceso no autorizado al entorno de producción de su servicio Dropbox Sign. ¡Un hacker ha conseguido hacerse con credenciales válidas! Gracias a esta cuenta comprometida, Dropbox especifica que El hacker pudo acceder a la Base de datos Clientela.
​
​Esta fuga de datos también afecta a los usuarios invitados, que pueden no tener una cuenta de Dropbox Sign: "Para aquellos que recibieron o firmaron un documento a través de Dropbox Sign, pero nunca crearon una cuenta, las direcciones de correo electrónico y los nombres también quedaron expuestos", se lee en el Sitio web de Dropbox.
¿Cómo protegerse?
Si usas Dropbox Sign, tendrás que cambiar tu contraseña lo antes posible y volver a configurar la aplicación MFA para que use una nueva clave TOTP para generar los códigos TOTP. Si utilizas esta contraseña en otros sitios, te recomendamos que la renueves también.
​
Por su parte, Dropbox ya ha tomado medidas para proteger las cuentas de sus usuarios: "En respuesta, nuestro equipo de seguridad ha restablecido las contraseñas de los usuarios, ha cerrado la sesión de todos los dispositivos en los que habían iniciado sesión en Dropbox Sign y está coordinando la rotación de todas las claves API y tokens OAuth."
​
Por último, como siempre, esté atento, ya que esta información podría utilizarse para configurar una campaña de phishing dirigida.