woman biting pencil while sitting on chair in front of computer during daytime

Photo by JESHOOTS.COM on Unsplash

We’re reaching out because on April 24th, we became aware of unauthorized access to the Dropbox Sign (formerly HelloSign) production environment. Upon further investigation, we discovered that a threat actor had accessed Dropbox Sign customer information. You are receiving this message because your information was in the data the third party accessed.

What happened
We can confirm that Dropbox Sign customer information such as emails, usernames, phone numbers, hashed passwords, multi-factor authentication, and general account settings were obtained. Based on our investigation, there is no evidence of unauthorized access to the contents of customers’ accounts (i.e. their documents or agreements), or their payment information.


What you can do

  • Passwords and multi-factor authentication: We’ve expired your password and logged you out of any devices you had connected to Dropbox Sign to further protect your account. The next time you log in to your Sign account, you’ll be sent an email to reset your password. Customers who use an authenticator app for multi-factor authentication should reset it as soon as possible. Please delete your existing entry and then reset it. If you use SMS you do not need to take any action.
  • If you reused your Dropbox Sign password on any other services, we strongly recommend that you change your password on those accounts and utilize multi-factor authentication when available. Instructions on how to do this for your Dropbox Sign account can be found here.

Può capitare? . Viviamo in un’epoca storica in cui la vera domanda da porsi non è “se“, ma “quando“.

Per questo motivo la fiducia viene a mancare? Forse in parte. Ma tralasciando il gran clamore e i titoli giornalistici acchiappa-clic (“è stato bucato Dropbox“), la situazione è “migliore” – si fa per dire – rispetto a tante altre molto simili, o addirittura quelle per le quali nessuno sa nulla, non ufficialmente almeno, salvo poi leggere della fuga dei dati (e trovarli anche abbastanza facilmente sul mercato nero) in gruppi Telegram, siti web specializzati che nulla hanno a che fare con i grandi del panorama Media o amatoriali (come il sottoscritto).

Quello che puoi e devi fare quanto prima è – soprattutto se il tuo account ha accesso a dati salvati sui server di Dropbox, non si parla quindi solo di firme ex-HelloSign – cambiare password, invalidare tutte le tue sessioni attive, cambiare codice base per la generazione dei token MFA e – sii scrupoloso – anche i codici di recupero mono-uso.

Si fa tutto dal tuo pannello di controllo web, sezione sicurezza:

Se segui il mantra del “un servizio, una password dedicata”, questa azione avrà un impatto molto basso sulla tua operatività e non ti richiederà più di 10 minuti del tuo tempo, ma ti permetterà al contempo di dormire sonni un pelino più tranquilli. Non perdere tempo.


