Bij een inbraak op de productieomgeving van Dropbox Sign zijn allerlei gegevens van klanten gestolen, waaronder tokens, wachtwoordhashes, e-mailadressen en namen, zo heeft Dropbox bekendgemaakt. Dropbox Sign, dat eerder nog bekendstond als HelloSign, is een oplossing voor het digitaal signeren van documenten.

Dropbox ontdekte op 24 april dat een aanvaller toegang tot de productieomgeving van de dienst had gekregen en daarbij klantgegevens heeft buitgemaakt. "We denken dat dit incident geïsoleerd was tot de Dropbox Sign-infrastructuur en geen andere Dropbox-producten heeft geraakt", aldus het bedrijf in een verklaring. De infrastructuur van Dropbox en Dropbox Sign zijn volgens Dropbox 'grotendeels' gescheiden. De gestolen klantdata bestaat uit e-mailadressen, gebruikersnamen, telefoonnummers, wachtwoordhashes en authenticatie-informatie, zoals API keys, OAuth tokens en multifactorauthenticatie.

Volgens Dropbox wist de aanvaller toegang tot een 'automated system configuration tool' van Dropbox Sign te krijgen. Daarbij werd een service-account gecompromitteerd dat onderdeel van de back-end van Dropbox Sign is. Dit account wordt gebruikt om geautomatiseerde services te draaien. Daardoor heeft het account ook rechten om bepaalde acties binnen de productieomgeving van Dropbox Sign uit te voeren. Op deze manier wist de aanvaller toegang tot de productieomgeving en klantendatabase te krijgen.

Vanwege het datalek heeft Dropbox alle wachtwoorden van Sign-gebruikers gereset, gebruikers uitgelogd van apparaten die met Dropbox Sign waren verbonden en is bezig om alle API keys en OAuth tokens te resetten. Tevens is er melding van het datalek gedaan bij toezichthouders en andere autoriteiten. Klanten die een authenticatie-app voor multifactorauthenticatie gebruiken worden opgeroepen om hun Sign-entry te resetten en opnieuw aan te maken. Hoe de aanvaller precies toegang kon krijgen is niet bekendgemaakt.