Dropbox meldt dat er een hack heeft plaatsgevonden bij zijn dienst om documenten digitaal te ondertekenen. De aanval heeft gelukkig geen betrekking op andere Dropbox-clouddiensten.
In een mededeling op zijn website meldt Dropbox dat het incident plaatsvond op 24 april. De aanval zou relatief snel in de kiem zijn gesmoord, maar diefstal van data is niet kunnen vermeden. Dropbox meldt dat persoonlijke gegevens van gebruikers van Dropbox Sign mogelijk zijn gestolen. Ook wie ooit een document ontving via het platform, moet rekening houden met mogelijk gegevensverlies.
Het gaat daarbij om gebruikersnamen, e-mailadressen, telefoonnummers, maar ook gecodeerde wachtwoorden en authenticatietokens. Dropbox stelt gerust dat het alle wachtwoorden en tokens die mogelijk in gedrang zouden komen al heeft geblokkeerd om misbruik te voorkomen. Volgens het bedrijf zijn er op dit moment nog geen aanwijzingen dat Dropbox Sign-accounts gevaar lopen.
Dropbox vermoedt dat de indringer is binnen geraakt via een geautomatiseerde systeemconfiguratie. Er werd dus geen menselijk account gekraakt. Het onderzoek is nog volop aan de gang en verwacht binnen enkele dagen meer informatie te kunnen geven.
Afzonderlijke infrastructuur
Opvallend is dat de aanval op Dropbox Sign geen enkele invloed zou mogen hebben op de andere clouddiensten van Dropbox, zoals de bekende opslagdienst. Het platform om een elektronische krabbel onder documenten te zetten, draait op volledig afzonderlijke infrastructuur.
Dropbox voegde de dienst in 2019 toe met de overname van HelloSign, en het platform is altijd op eigen infrastructuur blijven draaien. Er zijn op gebied van infrastructuurbeheer heel wat vragen te stellen bij die werkwijze, maar in dit geval is het goed uitgepakt voor Dropbox.