Caso você tenha recebido um e-mail com as características indicadas abaixo, simplesmente desconsidere.

 Identificamos que alguns de nossos clientes receberam e-mails da Clicksign, por um remetente nitidamente fictício, com o assunto "Assinar documento: Contrato.pdf", "Seu documento está perto de atingir a data limite de assinatura", ou outros assuntos similares. 

Simplesmente desconsidere. Não se trata de phishing, malware, vazamento ou corrompimento de dados. 

A Clicksign enviou estes e-mails de forma automatizada, como parte do procedimento de homologação de novas funcionalidades. Houve uma falha no protocolo de envio de e-mails, conforme descrição abaixo. Pedimos desculpas pelo inconveniente.

Sabemos que você confia na Clicksign para assinar documentos eletronicamente. Definiremos medidas para garantir que eventos similares a este não aconteçam novamente.

‌

Descrição técnica do incidente

Constantemente atualizamos e criamos novas funcionalidades na plataforma Clicksign. Seguindo boas práticas de segurança, contamos com três infraestruturas independentes, que são utilizadas de forma sequencial até o lançamento de uma nova versão:

• Ambiente de Staging com dados fictícios para homologação, e testes de desempenho e segurança.
• Ambiente de Sandbox com dados de homologação, para que nossos Clientes realizem integrações e testes.
• Ambiente de Produção com dados reais, para executar processos com validade jurídica.

O incidente ocorreu no ambiente de Staging. Nesta semana efetuamos o deploy de um novo script para aumentar a base de dados fictícia do ambiente de Staging. O objetivo é tornar o ambiente de Staging mais próximo do ambiente de Produção, para melhorarmos a nossa suite de testes. O novo script baixa apenas metadados (não inclui arquivos e documentos) do ambiente de Produção em um quarto ambiente isolado, mascara tais metadados (i.e. substitui dados reais por dados fictícios), e sobe a base fictícia para o ambiente de Staging. 

O novo script apresentou falhas na substituição de algumas colunas da base de dados. Ordinariamente, este tipo de erro é corrigido no procedimento de homologação, com as demais operações suspensas. Neste caso, o processo de notificação estava operacional durante a homologação. Isto ocasionou o envio indevido de e-mails.

Nossa equipe está efetuando uma análise completa da causa raiz. Definiremos medidas preventivas em conformidade com a ISO 27001 e 27701, para garantir que eventos similares a este não aconteçam novamente.