Unbefugte erlangten Zugang zu den internen Servern von Dropbox Sign (früher bekannt als HelloSign), die Hacker gelangten an Sensible Kundendaten.

Dropbox Sign ermöglicht das rechtsgültige digitale Unterschreiben von Dokumenten. Laut einem Blogbeitrag entdeckte Dropbox den Sicherheitsvorfall am 24. April 2024. Der Signierungsdienst ist laut Unternehmensangaben von anderen Dropbox-Produkten isoliert, weshalb aktuell angenommen wird, dass keine weiteren Dropbox-Produkte betroffen sind. Daten, die Kunden in der Dropbox-Cloud speichern, sollten daher nicht von diesem Vorfall betroffen sein.

Die Verantwortlichen berichten von unbefugten Zugriffen auf API-Schlüssel, E-Mail-Adressen, Multi-Faktor-Authentifizierungsdaten, Namen, OAuth Tokens, Passwörter und Telefonnummern. Die Passwörter liegen jedoch verschlüsselt vor, was ihre Verwendung durch Unbefugte erschwert.

Betroffen sind auch Personen, die keinen eigenen Dropbox-Sign-Account besitzen, jedoch in der Vergangenheit Dokumente erhalten haben, die über diesen Service signiert wurden.

Hintergrundinformationen

Die Angreifer verschafften sich über einen unbeschriebenen Weg Zugang zu einem Konfigurationstool und übernahmen die Kontrolle über einen Service-Account, was ihnen weitreichende Systemzugriffe ermöglichte. Aus Sicherheitsgründen wurden unter anderem die Passwörter von Dropbox Sign zurückgesetzt.