Dropbox est l’un des outils de collaboration et de stockage en cloud les plus populaires. Malheureusement, des pirates informatiques viennent de voler un grand nombre de données d’utilisateurs de Dropbox Sign, et les autres services de l’entreprise pourraient être affectés.
Dropbox a déclaré dans un formulaire 8-K avoir pris connaissance d’un accès non autorisé à Dropbox Sign, son service d’envoi et de signature de contrats numériques, le 24 avril 2024.
Dropbox a découvert que le pirate avait accédé aux e-mails et aux noms d’utilisateur des utilisateurs de Dropbox Sign, ainsi qu’aux « numéros de téléphone, aux mots de passe hachés et à certaines informations d’authentification telles que les clés API, les jetons OAuth et l’authentification multifactorielle » pour un sous-ensemble plus restreint d’utilisateurs.
Dropbox pense que l’attaque s’est limitée à Dropbox Sign, mais l’entreprise n’a pas exclu complètement cette possibilité. Un article de blog explique : « D’un point de vue technique, l’infrastructure de Dropbox Sign est largement séparée des autres services Dropbox. Cela dit, nous avons étudié ce risque de manière approfondie et nous pensons que cet incident est isolé de l’infrastructure de Dropbox Sign et qu’il n’a pas eu d’impact sur d’autres produits Dropbox« .
Le pirate a obtenu l’accès par le biais d’un compte de service faisant partie de l’infrastructure dorsale de Dropbox Sign, qui disposait d’autorisations élevées et d’un accès à la base de données des clients. Après la découverte de l’attaque, Dropbox a réinitialisé tous les mots de passe concernés et déconnecté tous les utilisateurs. L’entreprise a également commencé à mettre à jour toutes les clés API et les jetons OAuth qui ont été volés lors de l’attaque.
Les violations sont malheureusement trop nombreuses
Les violations de données sont monnaie courante, il n’est donc pas trop surprenant que Dropbox ait été touché, mais elles ne vont pas toujours aussi loin que les numéros de téléphone et l’authentification multifactorielle.
Dropbox a déclaré dans un article de blog : « Nous avons travaillé 24 heures sur 24 pour réduire les risques pour nos clients, et nous sommes en train de contacter tous les utilisateurs touchés par cet incident qui doivent prendre des mesures, avec des instructions étape par étape sur la façon de mieux protéger leurs données« .
Quelques conseils pour Dropbox Sign
Si vous êtes un utilisateur de Dropbox Sign, vous devez supprimer la configuration MFA de vos applications d’authentification et réinstaller la fonction. Soyez également attentif aux e-mails suspects prétendant provenir de Dropbox Sign, en particulier s’ils demandent une action urgente (par exemple, une réinitialisation urgente du mot de passe). Veillez plutôt à vous rendre manuellement sur le site de Dropbox Sign et à y réinitialiser vos identifiants de connexion.
Dropbox Sign a préparé une liste de questions fréquentes à l’intention de ses clients, qui explique notamment comment procéder à la rotation des clés API.