Gli aggressori sono riusciti a rubare token di autenticazione, dati di autenticazione a più fattori (MFA), password con hash e informazioni sui clienti, inclusi indirizzi e-mail, nomi utente, numeri di telefono e impostazioni generali dell'account.
L'azienda ha affermato che l'infrastruttura di Dropbox Sign è in gran parte separata dagli altri servizi Dropbox e che non ci sono prove che gli aggressori abbiano avuto accesso a documenti, accordi o informazioni sui pagamenti dei clienti.
Dropbox ha reimpostato tutte le password degli utenti, terminato tutte le sessioni di Dropbox Sign e limitato l'uso delle chiavi API finché non vengono sostituite dai clienti, e sta inviando e-mail a tutti gli utenti interessati dall'incidente.