Dropbox a révélé une attaque majeure sur ses systèmes qui a conduit à ce que les informations personnelles des clients soient accessibles par des entités inconnues et non autorisées. L’attaque, détaillée dans une déclaration réglementaire, a affecté Dropbox Sign – un service présenté comme une « solution de signature électronique qui vous permet d’envoyer, de signer et de stocker des documents importants dans un flux de travail transparent, sans jamais quitter Dropbox. » Donc, essentiellement un clone de DocuSign. La déclaration indique que la direction a pris connaissance de l’incident la semaine dernière – le 24 avril – et « a immédiatement activé notre processus de réponse aux incidents de cybersécurité pour enquêter, contenir et remédier à l’incident. » Cet effort a conduit à la découverte que « le cybercriminel avait eu accès à des données relatives à tous les utilisateurs de Dropbox Sign, telles que des adresses e-mail et des noms d’utilisateur, en plus des paramètres de compte généraux. » La situation s’aggrave encore : « Pour des sous-ensembles d’utilisateurs, le cybercriminel a également eu accès à des numéros de téléphone, des mots de passe hachés et certaines informations d’authentification telles que des clés API, des jetons OAuth et l’authentification multi-facteurs », précise la déclaration.
Menu
