{"id":22602,"date":"2024-05-20T16:41:45","date_gmt":"2024-05-20T19:41:45","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=22602"},"modified":"2024-05-20T16:41:45","modified_gmt":"2024-05-20T19:41:45","slug":"dropbox-sign-breach","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dropbox-sign-breach\/22602\/","title":{"rendered":"Dropbox alerta sobre viola\u00e7\u00e3o do Dropbox Sign"},"content":{"rendered":"<p>O Dropbox compartilhou <a href=\"https:\/\/sign.dropbox.com\/blog\/a-recent-security-incident-involving-dropbox-sign\" target=\"_blank\" rel=\"noopener nofollow\">os resultados de uma investiga\u00e7\u00e3o<\/a> sobre um ataque maliciosos em sua infraestrutura. A empresa n\u00e3o especifica quando o incidente realmente ocorreu, informando apenas que o ataque foi percebido pelos funcion\u00e1rios da empresa no dia 24 de abril. Aqui, explicaremos o que aconteceu, quais dados foram vazados e como proteger voc\u00ea e sua empresa das consequ\u00eancias deste incidente.<\/p>\n<h2>Hack do Dropbox Sign: como aconteceu e quais dados foram roubados<\/h2>\n<p>Invasores n\u00e3o identificados conseguiram comprometer a conta de servi\u00e7o do Dropbox Sign e, assim, obter acesso ao mecanismo interno de configura\u00e7\u00e3o autom\u00e1tica da plataforma. Usando esse acesso, os hackers conseguiram obter um banco de dados que cont\u00e9m informa\u00e7\u00f5es sobre os usu\u00e1rios do Dropbox Sign.<\/p>\n<p>Como resultado, foram roubados os seguintes dados de usu\u00e1rios cadastrados do servi\u00e7o Sign:<\/p>\n<ul>\n<li>nomes de usu\u00e1rio;<\/li>\n<li>endere\u00e7os de e-mail;<\/li>\n<li>n\u00fameros de telefone;<\/li>\n<li>senhas (com hash);<\/li>\n<li>chaves de autentica\u00e7\u00e3o para a API DropBox Sign;<\/li>\n<li>Tokens de autentica\u00e7\u00e3o OAuth;<\/li>\n<li>SMS e tokens de autentica\u00e7\u00e3o de dois fatores de aplicativos.<\/li>\n<\/ul>\n<p>Para os usu\u00e1rios do servi\u00e7o que apenas realizaram a\u00e7\u00f5es, sem necessariamente terem criado uma conta, o vazamento ficou restrito a seus nomes e endere\u00e7os de e-mail.<\/p>\n<p>O Dropbox afirma n\u00e3o ter encontrado sinais de acesso n\u00e3o autorizado ao conte\u00fado das contas dos usu\u00e1rios \u2013 ou seja, documentos e acordos, bem como informa\u00e7\u00f5es de pagamento.<\/p>\n<p>Como medida de prote\u00e7\u00e3o, o Dropbox redefiniu as senhas de todas as contas do Dropbox Sign e encerrou todas as sess\u00f5es ativas, ent\u00e3o voc\u00ea ter\u00e1 que fazer login novamente e definir uma nova senha quando for acessar sua conta.<\/p>\n<h2>O ataque ao Dropbox Sign afeta todos os usu\u00e1rios do Dropbox?<\/h2>\n<p>Dropbox Sign, anteriormente conhecido como HelloSign, \u00e9 uma ferramenta aut\u00f4noma de fluxo de trabalho de documentos em nuvem do Dropbox, usada principalmente para assinar documentos eletr\u00f4nicos. Outros com funcionalidades similares s\u00e3o DocuSign e Adobe Sign.<\/p>\n<p>Como a empresa enfatiza em seu comunicado, a infraestrutura do Dropbox Sign \u00e9 \u201cem grande parte separada de outros servi\u00e7os do Dropbox\u201d. A julgar pelos resultados da investiga\u00e7\u00e3o da empresa, a invas\u00e3o do Dropbox Sign foi um incidente isolado e n\u00e3o afetou outros produtos da empresa. Assim, de acordo com as informa\u00e7\u00f5es que temos agora, n\u00e3o existe amea\u00e7a aos usu\u00e1rios do principal servi\u00e7o da empresa, o pr\u00f3prio armazenamento de arquivos em nuvem Dropbox. Isso tamb\u00e9m se aplica \u00e0s pessoas cuja conta Sign estava vinculada \u00e0 conta principal do Dropbox.<\/p>\n<h2>O que voc\u00ea deve fazer a respeito do ataque ao Dropbox Sign?<\/h2>\n<p>O Dropbox j\u00e1 redefiniu as senhas de todas as contas do Dropbox Sign. Portanto, de toda forma, voc\u00ea ter\u00e1 que alterar a senha. Recomendamos usar uma senha completamente nova em vez de uma vers\u00e3o ligeiramente modificada da antiga. Idealmente, voc\u00ea deve gerar uma longa combina\u00e7\u00e3o aleat\u00f3ria de caracteres usando um <a href=\"https:\/\/www.kaspersky.com.br\/password-manager?icid=br_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kpm___\" target=\"_blank\" rel=\"noopener\">gerenciador de senhas<\/a> e utiliz\u00e1-lo para armazen\u00e1-la.<\/p>\n<p>Como os tokens de autentica\u00e7\u00e3o de dois fatores tamb\u00e9m foram roubados, voc\u00ea tamb\u00e9m deve redefini-los. Se voc\u00ea usou SMS, a redefini\u00e7\u00e3o ocorreu automaticamente. E se voc\u00ea usou um aplicativo, ter\u00e1 que fazer isso manualmente. Para fazer isso, repita o processo de registro do seu aplicativo autenticador no servi\u00e7o Dropbox Sign.<\/p>\n<p>A lista de dados roubados por hackers tamb\u00e9m inclui chaves de autentica\u00e7\u00e3o para a API Dropbox Sign. Ent\u00e3o se sua empresa utilizou essa ferramenta por meio da API, voc\u00ea precisa gerar uma nova chave.<\/p>\n<p>Por fim, se voc\u00ea usou a mesma senha em qualquer outro servi\u00e7o, voc\u00ea deve alter\u00e1-la o mais r\u00e1pido poss\u00edvel \u2013 especialmente se ela estiver acompanhada do mesmo nome de usu\u00e1rio, endere\u00e7o de e-mail ou n\u00famero de telefone que voc\u00ea especificou ao se registrar no Dropbox Sign. Novamente, para isso \u00e9 conveniente utilizar nosso Gerenciador de Senhas, que, ali\u00e1s, faz parte de nossa <a href=\"https:\/\/www.kaspersky.com.br\/small-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b__wpplaceholder____ksos___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de seguran\u00e7a para pequenas empresas<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksos-trial\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"ksos-trial\" value=\"9962\">\n","protected":false},"excerpt":{"rendered":"<p>O Dropbox publicou um relat\u00f3rio sobre uma viola\u00e7\u00e3o de dados do servi\u00e7o de assinatura eletr\u00f4nica Dropbox Sign. O que isso significa para os usu\u00e1rios e o que eles devem fazer?<\/p>\n","protected":false},"author":2726,"featured_media":22603,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,1119,1655,1656],"tags":[913,2382,218,1762,1185,332,102,484,1703],"class_list":{"0":"post-22602","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"tag-2fa","12":"tag-a2f","13":"tag-ameacas","14":"tag-autenticadores","15":"tag-business","16":"tag-hacking","17":"tag-senhas","18":"tag-vazamento-de-dados","19":"tag-vazamentos"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/dropbox-sign-breach\/22602\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/dropbox-sign-breach\/27393\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/dropbox-sign-breach\/22717\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/dropbox-sign-breach\/30077\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/dropbox-sign-breach\/27548\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/dropbox-sign-breach\/27358\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/dropbox-sign-breach\/30015\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/dropbox-sign-breach\/28804\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/dropbox-sign-breach\/37365\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/dropbox-sign-breach\/51159\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/dropbox-sign-breach\/21859\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/dropbox-sign-breach\/31229\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/dropbox-sign-breach\/27699\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/dropbox-sign-breach\/33547\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/dropbox-sign-breach\/33209\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vazamento-de-dados\/","name":"vazamento de dados"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=22602"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22602\/revisions"}],"predecessor-version":[{"id":22605,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/22602\/revisions\/22605"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/22603"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=22602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=22602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=22602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}