fuite de données

Dropbox communique une faille dans Dropbox Sign

Dropbox a publié un rapport sur une fuite de données du service de signature électronique Dropbox Sign. Quelles sont les conséquences pour les utilisateurs et que doivent-ils faire ?

Alanna Titterington
13 Mai 2024

Dropbox a partagé les résultats d’une enquête à propos du piratage de son infrastructure. L’entreprise n’indique pas quand l’incident a eu lieu et souligne que des employés de l’entreprise ont détecté l’attaque le 24 avril. Dans cet article, nous vous expliquons ce qui s’est passé, quelles données ont été divulguées et comment protéger vos données et celles de votre entreprise des conséquences de cet incident.

Piratage de Dropbox Sign : comment est-ce arrivé et quelles données ont été volées

Des cybercriminels non identifiés ont réussi à compromettre le service Dropbox Sign puis à accéder au mécanisme de configuration automatique interne de la plateforme. Grâce à cet accès, les cybercriminels ont pu mettre la main sur une base de données qui contient les informations des utilisateurs de Dropbox Sign.

Par conséquent, les données suivantes des utilisateurs du service Sign ont été volées :

Identifiants
Adresses e-mail
Numéros de téléphone
Mots de passe (hachage)
Clés d’authentification pour l’API de Dropbox Sign
Jetons d’authentification OAuth
Jetons d’authentification à double facteur par SMS ou via une application

Si les utilisateurs ont interagi avec le service mais n’ont pas créé de compte, seul les noms et les adresses e-mail ont été divulgués.

Dropbox affirme n’avoir détecté aucun signe d’accès non autorisé au contenu des comptes des utilisateurs, c’est-à-dire aux documents et aux accords, ainsi qu’aux informations de paiement.

Comme mesure de protection, Dropbox a réinitialisé les mots de passe de tous les comptes Dropbox Sign et a fermé toutes les sessions actives. Ainsi, vous devrez vous connecter à nouveau au service et choisir un nouveau mot de passe.

Le piratage de Dropbox Sign concerne-t-il tous les utilisateurs de Dropbox ?

Dropbox Sign, anciennement connu comme HelloSign, est un outil autonome de flux de travail de documents Cloud de Dropbox, principalement utilisé pour la signature électronique de documents. DocuSign et Adobe Sign sont les services les plus similaires.

Comme l’entreprise l’a expliqué dans ses déclarations, l’infrastructure de Dropbox Sign est isolée des autres services Dropbox. À en juger par les résultats de l’enquête menée par l’entreprise, le piratage de Dropbox Sign est un incident isolé qui n’a pas affecté les autres produits Dropbox. Ainsi, selon les informations dont nous disposons maintenant, cet incident ne menace en aucun cas les utilisateurs du service principal de Dropbox, c’est-à-dire le stockage de fichiers sur le Cloud Dropbox. C’est également le cas pour les utilisateurs dont le compte Sign est associé au compte principal Dropbox.

Que faire si votre compte Dropbox Sign a été piraté ?

Dropbox a déjà réinitialisé les mots de passe de tous les comptes Dropbox Sign. Vous devez donc changer votre mot de passe dans tous les cas. Nous vous conseillons d’utiliser un nouveau mot de passe au lieu d’en choisir un légèrement différent à l’antérieur. Dans l’idéal, vous devriez générer une longue combinaison aléatoire de caractères à l’aide d’un gestionnaire de mots de passe et y stocker votre mot de passe.

Étant donné que les jetons d’authentification à double facteur ont aussi été volés, vous devez les rétablir. Si vous utilisez les SMS, cette réinitialisation se fait automatiquement. En revanche, vous devez le faire vous-même si vous utilisez une application. Pour ce faire, vous devez à nouveau ajouter le service Dropbox Sign dans l’application d’authentification.

La liste des données volées par les cybercriminels inclut aussi les clés d’authentification pour l’API de Dropbox Sign. Si votre entreprise a utilisé l’API pour accéder au service, vous devez générer une nouvelle clé.

Enfin, si vous avez utilisé le même mot de passe pour d’autres services, vous devez le changer le plus rapidement possible, surtout s’il correspond aussi au même nom d’utilisateur, adresse e-mail ou numéro de téléphone que celui utilisé lorsque vous avez créé votre compte Dropbox Sign. Là encore, il convient d’utiliser notre gestionnaire de mots de passe qui, cela dit en passant, est inclus dans notre solution de sécurité pour les petites entreprises.

Comment lire les messages chiffrés provenant de ChatGPT et d'autres chatbots d'IA ?

Comment les cybercriminels peuvent-ils lire vos discussions avec ChatGPT ou Microsoft Copilot ?

Comment les pirates informatiques exploitent-ils les fonctionnalités des chatbots pour reconstituer les discussions chiffrées provenant de ChatGPT (OpenAI), de Copilot (Microsoft) et de la plupart des autres chatbots d’IA ?

Protection des enfants

Dropbox communique une faille dans Dropbox Sign

Piratage de Dropbox Sign : comment est-ce arrivé et quelles données ont été volées

Le piratage de Dropbox Sign concerne-t-il tous les utilisateurs de Dropbox ?

Que faire si votre compte Dropbox Sign a été piraté ?

Trello : fuite de données

Fuites de données et motivation des employés

Comment les cybercriminels peuvent-ils lire vos discussions avec ChatGPT ou Microsoft Copilot ?

Conseils

Ne négligez pas Recall, car Recall ne vous négligera pas.

Le mythe de la navigation privée : comment elle fonctionne réellement

Configuration de la sécurité et de la confidentialité sur WhatsApp

Des programmes malveillants dans des liens « officiels » GitHub et GitLab

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky