Dropbox Sign victime d’un piratage : des données compromises

Dropbox Sign piraté

Le 24 avril 2024, Dropbox a annoncé avoir été victime d’une intrusion dans son système de signature électronique, Dropbox Sign. Cette faille de sécurité a permis à des pirates d’accéder aux informations personnelles de millions d’utilisateurs.

Selon l’entreprise, l’intrusion s’est produite lorsqu’un compte de service automatisé utilisé par Dropbox Sign a été compromis. Ce compte a ensuite été utilisé pour accéder à la base de données des clients.

Dropbox Sign est un service distinct du service de stockage en ligne Dropbox. Il permet aux utilisateurs de signer électroniquement des documents en ligne. D’après l’entreprise l’intrusion n’aurait eu aucun impact sur les autres services Dropbox, tels que le stockage de fichiers.

Des données compromises

Les données compromises incluent des adresses e-mail, des noms d’utilisateur, des numéros de téléphone et des mots de passe hachés. Il est important de noter que les mots de passe étaient stockés sous forme hachée, ce qui signifie qu’ils ne sont pas accessibles en clair aux pirates. Cependant, Dropbox recommande tout de même à tous les utilisateurs de changer leur mot de passe par mesure de précaution.

En plus des informations personnelles, les pirates ont également eu accès à des jetons d’authentification à deux facteurs (2FA) et à des clés API. Cela signifie que les pirates auraient pu potentiellement se connecter aux comptes des utilisateurs et accéder à leurs documents stockés sur Dropbox Sign.

Dropbox a réinitialisé tous les mots de passe des utilisateurs de Dropbox Sign et a déconnecté tous les appareils connectés. L’entreprise a également informé les autorités compétentes et mène une enquête sur l’incident.

Dropbox déjà piraté

Ce n’est malheureusement pas la première fois que Dropbox est victime d’un piratage.

• En 2016, la société a révélé qu’une attaque par bourrage d’informations avait permis à des pirates d’accéder aux informations de 60 millions d’utilisateurs.
• En 2012, une autre faille de sécurité avait exposé les mots de passe de 25 millions d’utilisateurs.

L’intrusion de Dropbox Sign est un rappel important des risques liés à l’utilisation de services en ligne. Il est important de choisir des mots de passe forts et uniques pour chaque service que vous utilisez, et d’activer l’authentification à deux facteurs whenever possible.

Prenez votre sécurité au sérieux !

Comme d’habitude, nous l’avons déjà dit à de nombreuses reprises sur ce site. Soyez acteur de votre sécurité et ne confiez pas votre sécurité aux servies que vous utilisez. N’importe quel site ou service peut être piraté un jour !

Voici le rappel des choses que vous devez mettre en place pour votre propre sécurité informatique :

• Utilisez des mots de passe forts et uniques pour chaque service que vous utilisez. N’utilisez jamais le même mot de passe pour plusieurs comptes. Vous n’êtes pas obligé de vous les rappeler tous, utilisez un outil pour cela comme Bitwarden. 🛡️
• Activez l’authentification à deux facteurs (2FA) whenever possible. Cela ajoute une couche de sécurité supplémentaire à vos comptes en exigeant un code de vérification supplémentaire en plus de votre mot de passe.
• Soyez méfiant vis-à-vis des e-mails et des sites Web suspects. Ne cliquez jamais sur des liens ou n’ouvrez pas de pièces jointes provenant d’adresses e-mail inconnues.
• Mettez à jour régulièrement votre logiciel et vos systèmes d’exploitation. Les mises à jour de sécurité contiennent souvent des correctifs pour les failles de sécurité connues.

Peu importe le nombre de services que vous utilisez en ligne, vous devez toujours avoir en tête qu’un service peut être piraté. La perte d’un outil ne doit pas mettre à risque tous les autres outils que vous pouvez utiliser.

Vérifiez également si vous avez fait l’objet d’un piratage en utilisant des sites comme haveibeenpwned.