Le célèbre service de stockage sur le cloud Dropbox a reconnu qu'un fichier contenant les données de ses utilisateurs a été volé sur le compte Dropbox d'un de ses employés et que l'information a ensuite été utilisée pour envoyer des messages de spam/phishing à ces utilisateurs.
A la mi-Juillet, un certain nombre d'utilisateurs se plaignaient qu'il recevaient du spam à des adresses e-mail utilisées exclusivement pour le service. De nombreux autres cas se sont ensuite montrés, noyant ainsi toute coïncidence. D'après Dropbox, un nombre indéterminé d'adresses électronique de ses utilisateurs étaient enregistrées dans un "document de projet" stocké sur le compte Dropbox d'un employé.
La société affirme que les données ont été volées par un pirate qui a utilisé un mot de passe récupéré lors d'une attaque sur un autre site web. Dropbox dit que le pirate a eu également accès à d'autres comptes de la même manière. La société a ajouté qu'elle avait contacté les utilisateurs touchés.
Après la fuite de données, Dropbox a créé une nouvelle section sur la page de sécurisation de son compte qui permet aux utilisateurs de voir les sessions ouvertes sur son compte et a mis en place des nouveaux mécanismes automatisés pour identifier toute activité suspecte. Dropbox dit qu'il prévoit également d'offrir une option d'authentification two-factor (TFA) d'ici quelques semaines.
Ils n'ont pas encore précisé comme sera mise en place cette option mais je pense qu'ils proposeront à l'utilisateur la réception d'un SMS avec un code qui doit être entré avec le mot de passe à chaque fois qu'ils se connectent.
MISES A JOUR DE L'ARTICLE |