Qualche giorno fa su Bloomberg è stata riportata la notizia dell’hackeraggio del prodotto di firma digitale di Dropbox, Dropbox Sign.
Per i meno addentro nel mondo cyber ricordiamo che Dropbox è un servizio di Cloud Storage e Dropbox Sign è la sua soluzione per la firma digitale. I prodotti prendono il nome dalla società Dropbox Inc., fondata nel 2007 da Drew Houston e Arash Ferdowsi, con sede in San Francisco, California.
Dropbox nel 2023 ha superato i 700 milioni di utenti registrati in 180 paesi del mondo.
Gli hacker sono riusciti ad accedere ad informazioni, tra cui emails, user name e numeri di telefono degli utenti ma non solo, in quanto per un certo numero di essi sono state rubate anche gli hash delle password e informazioni di autenticazione.
La società ha rilasciato le prime informazioni il 1° maggio, riportando che i suoi tecnici si sono accorti dell’attacco il 24 aprile. Secondo quanto riportato l’attaccante è riuscito a compromettere un account di servizio, cioè un tipo di account utilizzato per gestire applicazioni e servizi automatizzati che ha accesso a varie funzionalità del sistema. Tale account era dotato di privilegi particolari all’interno dell’ambiente di produzione di Dropbox Sign e questo ha consentito all’attaccante di compiere azioni di un certo rilievo all’interno del sistema. Da li a passare al database dei clienti dell’azienda Dropbox il passo è stato breve!
Purtoppo si tratta di un incidente di sicurezza che potrebbe avere conseguenze significative per i clienti e per l’azienda.
Con l’avvento del Cloud questo tipo di incidenti sono sempre più numerosi, nonostante le indubbie capacità gestionali dei grandi provider. Purtroppo la loro dimensione è un vantaggio da una parte ed uno svantaggio sull’altro lato della medaglia in quanto creano enormi concentrazioni di dati appetibili ai malintenzionati.
Ancora non è chiaro chi sia l’autore di questo attacco e probabilmente dovremo attendere ancora per avere maggiori informazioni.
Per approfondire:
– https://www.bnnbloomberg.ca/dropbox-says-hackers-breached-digital-signature-product-1.2067721
– https://sign.dropbox.com/blog/a-recent-security-incident-involving-dropbox-sign
– https://www.dropbox.com/it/features
– https://www.dropbox.com/it/sign
– https://www.statista.com/statistics/819605/number-of-paying-dropbox-users/