Après l’échec qui a causé la perte de fichiers pour des milliers d’utilisateurs, Dropbox doit faire face à un nouveau problème de sécurité, cette fois beaucoup plus grave : les logins et les mots de passe de près de 7 millions de comptes ont pu fuir du service.
Un aperçu de ces données a été placé dans Pastebin et diffusé sur un sujet Reddit. La liste indique les adresses électroniques accompagnées des mots de passe de 400 comptes. L’envahisseur responsable de la divulgation demande des dons en Bitcoins pour diffuser des informations d’autres utilisateurs supposés concernés.
Le Dropbox n’a pas tardé à s’exprimer sur le sujet. Dans une note publiée sur son blog ce lundi (13), la société a souligné que ses serveurs n’ont pas été piratés et que le service dans son ensemble reste sécurisé.
Selon l’entreprise, les intrus ont obtenu des listes d’adresses électroniques et des mots de passe par d’autres moyens et ont tenté de faire de l’authentification avec ces informations dans plusieurs services en ligne, dont Dropbox.
La société a également expliqué qu’elle a testé les courriels postés sur Pastebin et a constaté qu’aucun d’entre eux n’est associé à des comptes Dropbox. En revanche, on ne sait rien sur les données (encore) non publiées.
Que la liste soit vraie ou non, le fait est que l’épisode sert à renforcer l’importance des soins de base : éviter d’utiliser un seul mot de passe pour plusieurs services, utiliser des combinaisons fortes et activer la vérification en deux étapes. Cette dernière mesure empêche l’accès au compte même si le mot de passe a été découvert (pour en savoir plus, cliquez ici).
Il est également important d’être extrêmement prudent avec les applications non officielles : on soupçonne que des applications tierces ont facilité l’obtention de données à partir de comptes supposés piratés.
