Dropbox Sign piraté : mots de passe, clés API et jetons OAuth dérobés

AOutch

Le 02 mai 2024 à 10h47

3 min

Sécurité

C’est reparti pour un tour, avec un nouveau service piraté, pour bien commencer le mois de mai. Dans un billet de blog, la société explique avoir eu connaissance, le 24 avril, « d’un accès non autorisé à l’environnement de production Dropbox Sign (anciennement HelloSign) ».

Nouvelle salve de données dans la nature

Après enquête, il s’avère qu’un pirate a eu accès à des informations personnelles telles que des emails, des noms d'utilisateur, des numéros de téléphone et des mots de passe hachés, mais aussi aux « paramètres généraux du compte et à certaines informations d'authentification telles que les clés API, les jetons OAuth et l'authentification multifacteur ».

Dropbox précise que les utilisateurs ayant reçu ou signé un document via Dropbox Sign, mais qui n'ont jamais créé de compte, « ont également été exposés ». Cela concerne leurs emails et noms. L’entreprise affirme n’avoir par contre « aucune preuve d'accès non autorisé au contenu des comptes des clients (c'est-à-dire leurs documents ou accords) ou à leurs informations de paiement ».

Dropbox affirme que son service Sign est en grande partie séparé de ses autres activités. La société a néanmoins vérifié si le pirate n’avait pas pu dérober d’autres données. La réponse est négative pour l’instant : « cet incident est isolé sur l’infrastructure Dropbox Sign et n’a pas eu d’impact sur les autres produits Dropbox ».

Le pirate est passé par un compte système

Dropbox explique que le pirate a eu accès à un outil de configuration système. Il a « compromis un compte de service faisant partie du back-end de Sign, qui est un compte de type non humain utilisé pour exécuter des applications et des services automatisés. En tant que tel, ce compte avait le privilège d’effectuer diverses actions dans l’environnement de production de Sign. Le pirate a ensuite utilisé cet accès à l’environnement de production pour accéder à notre base de données clients ».

Dropbox Sign a par conséquent réinitialisé les mots de passe de ses utilisateurs et les a déconnectés de l’ensemble des appareils, avec une révocation des clés API et des jetons OAuth bien évidemment. L’incident a été signalé aux régulateurs (voir ce document déposé à la SEC) ainsi qu’aux forces de l'ordre. Tous les utilisateurs concernés sont contactés, mais le nombre de comptes concernés n’est pas précisé.

Une foire aux questions est disponible en bas de ce billet de blog.

Fin 2022, Dropbox avait déjà été piraté, via une attaque de phishing. Le pirate avait alors pu accéder à 130 dépôts GitHub. En 2012, Dropbox était également sous le feu des projecteurs. Des pirates avaient alors utilisé des identifiants et mots de passe dérobés sur d'autres sites pour se connecter à « un petit nombre de comptes Dropbox »… Mais l’un d’entre eux appartenait à un de ses employés et s’y trouvait un document avec des adresses e-mails d'utilisateurs.

Commentaires (6)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

RuMaRoCO Premium

Le 02/05/2024 à 11h37

C'est chaud non ?

Gilbert_Gosseyn Premium

Le 02/05/2024 à 12h43

Juste un peu, si peu ... (ça pue grave oui)

fred42 Premium

Le 02/05/2024 à 15h25

Pas tant que ça.

En fait, il nous manque un peu d'infos pour juger, en particulier sur le temps qui s'est passé entre le piratage et sa découverte.

Leur traitement après la découverte me semble plutôt propre : ils ont révoqué tout ce qu'il pouvait et restreint l'utilisation de leur API pour diminuer le risque tant que la clé d'accès n'a pas été changée par le client. Ils ont informés tout le monde.

Le risque est donc principalement pour les usurpations qui ont pu arriver avant qu'ils ne se rendent compte du piratage : Il peut y avoir des documents signés avec usurpation de l'identité du signataire. C'est ennuyeux, mais est-ce vraiment grave ?
Je pense que non, ces documents signés suite à un piratage n'ont aucune valeur et ne peuvent être un engagement du signataire supposé puisque l'on sait que maintenant qu'il y a eu piratage.

C'est surtout mauvais pour leur image : un système de signature électronique n'existe que par la confiance que l'on peut leur donner et là, elle est forcément un peu ébranlée, mais leur façon de traiter le problème est en leur faveur à mon avis.

Le seul truc un peu étrange, c'est leur explication technique qui n'en dit pas beaucoup : un compte système non humain qui a été compromis. Normalement un tel compte n'a pas de mot de passe et donc, pour le compromettre, il faut soit attaquer le service par une faille, soit attaquer un compte ayant des droits administrateur de la machine où il tourne.

Un système avec zéro faille, ça n'existe pas.

Winderly

Le 02/05/2024 à 11h37

Allez, un autre.

Zetny Premium

Modifié le 02/05/2024 à 13h15

Avons-nous une idée de l'utilisation Dropbox sign et du type d'utilisateurs ? Entreprises, particuliers, étudiants ?

J'avoue que je connais surtout le partage de docs que j'ai totalement moins abandonné depuis ma migration vers un Nextcloud perso il y a plusieurs années déjà. Donc j'ai un probablement une vision biaisée de son utilisation réelle.

kouinkouin Premium

Le 02/05/2024 à 14h48

L'historique listé dans dernier paragraphe est intéressant.
Il existe un site où on peut choisir une entreprise (ou secteur) et avoir l'historique toutes les CVE/fuites/* ?