Dropbox Sign annonce avoir été piraté

Dans un communiqué publié le 1er mai 2024, la filiale de Dropbox consacrée aux signatures électroniques, acquise par l’entreprise américaine en 2019 sous le nom de HelloSign, a signalé à ses clients et utilisateurs qu’une faille de sécurité dans ses bases de données a été exploitée.

La firme indique que :

Le 24 avril, nous avons eu connaissance d’un accès non autorisé à l’environnement de production de Dropbox Sign (anciennement HelloSign). Après une enquête plus approfondie, nous avons découvert qu’un acteur menaçant avait accédé à des données comprenant des informations sur les clients de Dropbox Sign, telles que des e-mails, des noms d’utilisateur, des numéros de téléphone et des mots de passe hachés, ainsi que des paramètres de compte généraux et certaines informations d’authentification, telles que des clés API, des jetons OAuth et l’authentification multifactorielle.

Pour ceux qui ont reçu ou signé un document via Dropbox Sign, mais qui n’ont jamais créé de compte, les adresses électroniques et les noms ont également été exposés. En outre, si vous avez créé un compte Dropbox Sign ou HelloSign, mais que vous n’avez pas défini de mot de passe avec nous (par exemple, « S’inscrire avec Google »), aucun mot de passe n’a été stocké ou exposé. Nous n’avons trouvé aucune preuve d’un accès non autorisé au contenu des comptes des clients (c’est-à-dire à leurs documents ou accords) ou à leurs informations de paiement.

D’un point de vue technique, l’infrastructure de Dropbox Sign est largement séparée des autres services Dropbox. Cela dit, nous avons étudié ce risque de manière approfondie et nous pensons que cet incident est isolé de l’infrastructure de Dropbox Sign et qu’il n’a pas eu d’incidence sur d’autres produits Dropbox.

[…]

Nous avons travaillé 24 heures sur 24 pour réduire les risques pour nos clients, et nous sommes en train de contacter tous les utilisateurs touchés par cet incident qui doivent prendre des mesures, avec des instructions étape par étape sur la façon de protéger davantage leurs données.

Nous procédons également à un examen approfondi de cet incident afin de mieux comprendre comment il s’est produit et de nous prémunir contre ce type de menace à l’avenir. Nous sommes reconnaissants à nos clients pour leur partenariat et nous sommes là pour aider tous ceux qui ont été touchés par cet incident.

Ainsi, les noms, adresses emails, numéros de téléphone et mots de passes chiffrés de tous les utilisateurs, même ceux qui n’ont pas ouvert de compte sur la plateforme, semblent être aujourd’hui dans la nature, ce qui est particulièrement grave.

C’est d’autant plus inquiétant que c’est très loin d’être la première fois que Dropbox est victime d’une faille de sécurité…

Commentaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *