Violato Dropbox Sign, informazioni sensibili degli utenti a rischio

Violato Dropbox Sign, informazioni sensibili degli utenti a rischio

Dropbox Sign ha subito un attacco attraverso cui gli attaccanti hanno ottenuto l'accesso a uno strumento di configurazione automatica che ha permesso loro di infiltrarsi nel database dei clienti, esponendo diversi tipi di dati personali.

di pubblicata il , alle 11:01 nel canale Web
Dropbox
 

Dropbox si trova ad affrontare una grave crisi di sicurezza dopo che il suo prodotto per la firma elettronica, Dropbox Sign, è stato vittima di una violazione di dati su vasta scala. Scoperto il 24 aprile, l'incidente sembra aver concesso a criminali informatici l'accesso illegale a informazioni sensibili di diversi utenti del servizio.

Secondo le prime indagini, gli hacker sono riusciti a compromettere uno strumento di configurazione automatica del sistema nell'infrastruttura di Dropbox Sign, ottenendo così accesso a privilegi elevati e al database dei clienti. Questo ha esposto una vasta gamma di informazioni, tra cui email, nomi utente, numeri di telefono e anche password crittografate. Per alcuni utenti, gli attaccanti potrebbero aver ottenuto anche token di autenticazione sensibili come chiavi API e token OAuth, utilizzati per accedere e gestire account e servizi.

Dropbox Sign sotto attacco hacker: dati degli utenti a rischio

"Il 24 aprile siamo venuti a conoscenza di un accesso non autorizzato all'ambiente di produzione di Dropbox Sign (in precedenza HelloSign)", ha scritto Dropbox nel suo blog proprietario."Dopo ulteriori indagini, abbiamo scoperto che un autore di minacce aveva avuto accesso a dati tra cui le informazioni dei clienti Dropbox Sign come email, nomi utente, numeri di telefono e password crittografate, oltre alle impostazioni generali dell'account e ad alcune informazioni di autenticazione come chiavi API, token OAuth e autenticazione a più fattori".

Dropbox ha reagito rapidamente, resettando immediatamente le password e disconnettendo i dispositivi connessi. L'azienda ha anche dichiarato che non ci sono prove riguardo una possibile infiltrazione sulle altre piattaforme proprietarie oltre Sign, né sembra che siano stati raggiunti i dati di pagamento degli utenti. Le autorità competenti sono già state contattate, al fine di avviare un'indagine per determinare la portata completa della violazione e identificare i responsabili.

Non conosciamo ancora il numero esatto di utenti colpiti, ma si prevede che la violazione abbia avuto un impatto significativo su parecchi clienti del servizio in tutto il mondo. Dropbox sta contattando tutti gli utenti potenzialmente coinvolti nell'attacco, e ha promesso ulteriori dettagli non appena verranno rivelati attraverso le indagini in corso.

I migliori sconti su Amazon oggi
-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 799.00 Compra ora
-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00 Compra ora
-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90 Compra ora
3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
UtenteHD03 Maggio 2024, 15:20 #1
MI sbagliero' ma io del Cloud ecc.. non mi fido, se ci metto qualcosa e' l'1% e cifrato con GPG, non prendo versioni premium non per non pagare, ma per avere i dati sottratti in caso di furto dati, e poi si ok si vive anche col gratis.
Qarboz03 Maggio 2024, 15:54 #2
Originariamente inviato da: UtenteHD
MI sbagliero' ma io del Cloud ecc.. non mi fido


Idem. Forse sarà l'età, ma mi da enormemente fastidio dover dipendere da terzi per i miei dati, oltre al rischio di violazioni come quella in oggetto
zappy05 Maggio 2024, 16:33 #3
concordo con voi.

E aggiungo che comunque nei cloud esistenti è veramente molto ma molto fumoso COSA sia crittografato e nei confronti di chi.
Nel senso che tanto parlano di crittografia end-to-end (fra due soggetti?) quando l'unica crittografica che dovrebbe esserci (e non si capisce se c'è, probabilmente NO) è end-e-basta, cioè TU crittografi e non c'è NESSUN altro "end" dall'altra parte.

Non parliamo poi del mondo smartphone, dove si blatera tanto di crittografia e poi i TUOI dati sono SEMPRE ostaggio di qualche altro soggetto (google, o il produttore dello smart, o terzi assortiti) e NON li puoi gestire come vuoi se non passi tramite loro

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^