Το Dropbox Sign, προηγουμένως γνωστό ως HelloSign, υπέστη παραβίαση ασφάλειας, κατά την οποία μη εξουσιοδοτημένοι παράγοντες κατάφεραν να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα χρηστών, όπως διευθύνσεις email και πληροφορίες ρυθμίσεων λογαριασμών.

Το συμβάν που εντοπίστηκε στις 24 Απριλίου 2024, αποκάλυψε τη διαρροή τηλεφωνικών αριθμών, κρυπτογραφημένων κωδικών πρόσβασης και πληροφοριών ελέγχου ταυτότητας ορισμένων χρηστών. Επηρέασε ακόμη και χρήστες που δεν είχαν δημιουργήσει λογαριασμό, αλλά αλληλεπιδρούσαν απλώς με την υπηρεσία, με αποτέλεσμα τα ονόματα και οι διευθύνσεις email τους να εκτεθούν.
Η έρευνα δεν έχει αποκαλύψει ενδείξεις παραβίασης της πρόσβασης στα περιεχόμενα του λογαριασμού ή στα στοιχεία πληρωμής των χρηστών.

Η παραβίαση φαίνεται να έχει επηρεάσει μόνο την υποδομή του Dropbox Sign, με τους επιτιθέμενους να καταφέρνουν να παραβιάσουν έναν λογαριασμό υπηρεσίας χρησιμοποιώντας ένα αυτοματοποιημένο εργαλείο διαμόρφωσης συστήματος, αποκτώντας πρόσβαση με αυξημένα προνόμια στα δεδομένα των πελατών. Η εταιρεία Dropbox δεν έχει αποκαλύψει ακόμα το πλήθος των πελατών που μπορεί να έχουν επηρεαστεί, αλλά βρίσκεται σε διαδικασία επικοινωνίας με τα δυνητικά θύματα, παρέχοντας οδηγίες για την ενίσχυση της προστασίας των πληροφοριών τους και συνεργάζεται στενά με τις αρχές για τη διεξαγωγή περαιτέρω έρευνας.

Αυτή είναι η δεύτερη φορά που το Dropbox υπέστη παραβίαση ασφαλείας σε διάστημα δύο ετών, έπειτα από ένα περιστατικό phishing το 2022. Για την ενίσχυση της ασφάλειας, προτείνονται βήματα όπως η επαναφορά των κωδικών πρόσβασης, η αποσύνδεση συσκευών που έχουν συνδεθεί προηγουμένως, και η αντικατάσταση των κλειδιών API και των διακριτικών OAuth.