Dropbox a révélé une importante attaque contre ses systèmes qui a vu des informations personnelles de clients être consultées par des entités inconnues et non autorisées. L’attaque, détaillée dans un dépôt réglementaire, a impacté Dropbox Sign – un service présenté comme une « solution d’eSignature [qui] vous permet d’envoyer, de signer et de stocker des documents importants dans un flux de travail fluide, sans jamais quitter Dropbox. » Donc, essentiellement un clone de DocuSign. Le dépôt indique que la direction a pris connaissance de l’incident la semaine dernière – le 24 avril – et « a immédiatement activé notre processus d’intervention en cas d’incident de cybersécurité pour enquêter, contenir et remédier à l’incident. » Cet effort a mené à la découverte que « l’acteur de menace avait accédé à des données relatives à tous les utilisateurs de Dropbox Sign, telles que des adresses e-mail et des noms d’utilisateur, en plus des paramètres généraux du compte. » Les choses se sont aggravées : « Pour certains sous-ensembles d’utilisateurs, l’acteur de menace a également accédé à des numéros de téléphone, des mots de passe hachés et certaines informations d’authentification telles que des clés API, des jetons OAuth et l’authentification multi-facteurs, » indique le dépôt.
Menu
