Le 24 avril 2024, Dropbox, le service de stockage et de partage de fichiers en ligne, a constaté « un accès non autorisé à l’environnement de production » de Dropbox Sign, anciennement appelé HelloSign. Dans un mail adressé à 01Net, la société précise que « cet incident a uniquement impacté les clients de Dropbox Sign, et non pas ceux des autres solutions Dropbox, pour lesquels il n’y a pas de risque sur la sécurité de leurs données ».
Ce service permet aux utilisateurs de signer électroniquement des documents de manière sécurisée en ligne. Un intrus est apparemment parvenu à pénétrer dans la section du système consacrée à la gestion des outils de la société pour y prendre le contrôle d’un outil de configuration de Dropbox Sign. L’entreprise a alors mené une enquête « plus approfondie ».
Pour pénétrer dans le système, le pirate s’est servi d’un compte compromis « utilisé pour exécuter des applications et exécuter des services automatisés ». Grâce à cet accès non autorisé, l’attaquant a pu accéder à « notre base de données clients », admet la firme américaine.
À lire aussi : une faille de sécurité Dropbox provoque le vol de milliers de noms et d’adresses e-mail
Quelles données ont été volées à Dropbox ?
Dès lors, le cybercriminel a exfiltré des informations sur les clients de Dropbox Sign, comme les e-mails, les noms d’utilisateur, les numéros de téléphone, et les mots de passe. Dropbox précise que les mots de passe étaient hachés, c’est-à-dire sécurisés à l’aide d’un hachage cryptographique. Le pirate n’est donc pas en mesure de décoder le mot de passe et de s’en servir pour pénétrer sur votre compte. Néanmoins, Dropbox conseille aux utilisateurs qui auraient utilisé le même mot de passe sur d’autres comptes de le modifier. Notez que les internautes ayant utilisé l’eSignature de Dropbox Sign, pour signer un document reçu par exemple, sans créer de compte, sont également potentiellement affectés.
Comme l’explique Dropbox, l’intrus s’est aussi emparé des réglages du compte et des informations de sécurité, telles que les clés API, qui permettent aux apps de communiquer entre elles, les jetons OAuth, qui accordent des permissions temporaires à un logiciel, et les données liées à l’authentification double facteurs. Si vous passez par une application d’authentification, comme Google Authenticator, vous êtes invité à la réinitialiser.
Dropbox réinitialise les mots de passe
Après avoir découvert la cyberattaque, Dropbox a immédiatement réinitialisé les mots de passe des utilisateurs et déconnecté les utilisateurs de tous les appareils liés à Dropbox Sign. Par ailleurs, l’entreprise a mis à jour toutes les clés API et tous les jetons OAuth. Ces mesures doivent empêcher l’attaquant d’exploiter les informations en sa possession.
Selon Dropbox, rien n’indique que l’intrus a pu consulter les documents des utilisateurs ou compromettre d’autres pans de son infrastructure informatique. La firme assure être « en train de contacter tous les utilisateurs touchés par cet incident qui doivent prendre des mesures ». Dans son communiqué, Dropbox précise que les régulateurs adéquats ont été avertis de la fuite de données.
Si vous utilisez Dropbox, on vous recommande de redoubler de prudence. Il n’est pas impossible que les hackers se servent des informations volées pour tenter d’obtenir des données encore plus sensibles, comme des identifiants ou des coordonnées bancaires. Les données subtilisées peuvent en effet servir de point de départ à des attaques de phishing, ou d’hameçonnage.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Dropbox