Nel 2022, Dropbox rivelò un attacco hacker dove furono rubati 130 repository di codici violando gli account GitHub, utilizzando credenziali rubate ai dipendenti.
Il 24 aprile 2024 invece ha rivelato accessi non autorizzati ai sistemi di produzione di DropBox Sign, avviando un indagine. Dopo ha comunicato che i loro sistemi di produzione per la sua piattaforma di firma elettronica DropBox Sign, sono stati violati, dando accesso ai malfattori ad informazioni sui clienti, token di autenticazione, chiavi MFA e password.
I malfattori hanno avuto accesso a uno strumento di configurazione automatizzata del sistema Dropbox Sign. Questo strumento di configurazione ha consentito agli aggressori di eseguire applicazioni e servizi automatizzati con privilegi elevati, consentendo di accedere ai database dei clienti. Inoltre hanno scoperto che hanno avuto accesso ai dati dei clienti, fra cui mail, nomi utente, numeri di telefono e password con hash, oltre alle impostazioni generali dell’account e ad alcune informazioni di autenticazione come chiavi API, token OAuth e autenticazione a più fattori. Quindi chi ha utilizzato la piattaforma di firma elettronica ma non hanno registrato un account, sono stati esposti anche i loro indirizzi mail e i loro nomi.
DropBox ha comunicato di aver reimpostato le password di tutti gli utenti, disconnesso tutte le sessioni su DropBox Sign, limitando il modo in cui le chiavi API possono essere utilizzate fino a quando non vengono ruotate dal cliente.
Chi utilizza MFA con DropBox Sign deve riconfigurare una nuova chiave eliminando la configurazione dalle proprie app di autenticazione e riconfigurarla. I clienti stanno ricevendo da DropBox una mail, dove spiega l’avvenuto attacco e prestare attenzione a potenziali campagne di phishing. In caso ricevi una mail da DropBox Sign, dove ti chiede di reimpostare la password, non cliccare su nessun link ma vai direttamente su DropBox Sign e reimposta la password dal tuo account.