A Dropbox confirmou que um atacante entrou no sistema do Dropbox Sign (ex-HelloSign) e teve acesso a dados dos utilizadores.
A Dropbox diz ter detetado a intrusão a 24 de Abril, e que o atacante conseguiu aceder a coisas como endereços de email, nomes de utilizador, números de telefone, definições de conta, assim como hashes das passwords, chaves API, tokens OAuth, e modo de autenticação multi-factor.
Mesmo pessoas que nunca tenham criado uma conta Dropbox Sign estão em risco de ter alguns destes dados expostos, desde que tenham recebido um documento via Dropbox Sign ou feito uma assinatura através do serviço.
A Dropbox diz já ter feito o reset das passwords e logout das contas afectadas, para protecção dos utilizadores, sendo que o problema obviamente se complica para todos os que (contra todas as recomendações!) partilhem a mesma password com outros serviços. Como vimos recentemente, crackar uma password é algo que hoje em dia pode ser ser feito de forma bastante rápida, se não se usarem passwords seguras e métodos adequados.
Apesar da empresa dizer que até ao momento "acredita" que os hackers só tenham conseguido aceder ao Dropbox Sign e não aos outros produtos Dropbox, não será má ideia fazerem o reset da password Dropbox se utilizarem algum dos seus serviços.
Sem comentários:
Enviar um comentário