Dropbox Sign piraté : mots de passe, clés API et jetons OAuth dérobés
AOutch
Le 02 mai à 10h47
3 min
Sécurité
Sécurité
C’est reparti pour un tour, avec un nouveau service piraté, pour bien commencer le mois de mai. Dans un billet de blog, la société explique avoir eu connaissance, le 24 avril, « d’un accès non autorisé à l’environnement de production Dropbox Sign (anciennement HelloSign) ».
Nouvelle salve de données dans la nature
Après enquête, il s’avère qu’un pirate a eu accès à des informations personnelles telles que des emails, des noms d'utilisateur, des numéros de téléphone et des mots de passe hachés, mais aussi aux « paramètres généraux du compte et à certaines informations d'authentification telles que les clés API, les jetons OAuth et l'authentification multifacteur ».
Dropbox précise que les utilisateurs ayant reçu ou signé un document via Dropbox Sign, mais qui n'ont jamais créé de compte, « ont également été exposés ». Cela concerne leurs emails et noms. L’entreprise affirme n’avoir par contre « aucune preuve d'accès non autorisé au contenu des comptes des clients (c'est-à-dire leurs documents ou accords) ou à leurs informations de paiement ».
Dropbox affirme que son service Sign est en grande partie séparé de ses autres activités. La société a néanmoins vérifié si le pirate n’avait pas pu dérober d’autres données. La réponse est négative pour l’instant : « cet incident est isolé sur l’infrastructure Dropbox Sign et n’a pas eu d’impact sur les autres produits Dropbox ».
Le pirate est passé par un compte système
Dropbox explique que le pirate a eu accès à un outil de configuration système. Il a « compromis un compte de service faisant partie du back-end de Sign, qui est un compte de type non humain utilisé pour exécuter des applications et des services automatisés. En tant que tel, ce compte avait le privilège d’effectuer diverses actions dans l’environnement de production de Sign. Le pirate a ensuite utilisé cet accès à l’environnement de production pour accéder à notre base de données clients ».
Dropbox Sign a par conséquent réinitialisé les mots de passe de ses utilisateurs et les a déconnectés de l’ensemble des appareils, avec une révocation des clés API et des jetons OAuth bien évidemment. L’incident a été signalé aux régulateurs (voir ce document déposé à la SEC) ainsi qu’aux forces de l'ordre. Tous les utilisateurs concernés sont contactés, mais le nombre de comptes concernés n’est pas précisé.
Une foire aux questions est disponible en bas de ce billet de blog.
Fin 2022, Dropbox avait déjà été piraté, via une attaque de phishing. Le pirate avait alors pu accéder à 130 dépôts GitHub. En 2012, Dropbox était également sous le feu des projecteurs. Des pirates avaient alors utilisé des identifiants et mots de passe dérobés sur d'autres sites pour se connecter à « un petit nombre de comptes Dropbox »… Mais l’un d’entre eux appartenait à un de ses employés et s’y trouvait un document avec des adresses e-mails d'utilisateurs.
Dropbox Sign piraté : mots de passe, clés API et jetons OAuth dérobés
-
Nouvelle salve de données dans la nature
-
Le pirate est passé par un compte système
Commentaires (6)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/05/2024 à 11h37
Le 02/05/2024 à 12h43
Le 02/05/2024 à 15h25
En fait, il nous manque un peu d'infos pour juger, en particulier sur le temps qui s'est passé entre le piratage et sa découverte.
Leur traitement après la découverte me semble plutôt propre : ils ont révoqué tout ce qu'il pouvait et restreint l'utilisation de leur API pour diminuer le risque tant que la clé d'accès n'a pas été changée par le client. Ils ont informés tout le monde.
Le risque est donc principalement pour les usurpations qui ont pu arriver avant qu'ils ne se rendent compte du piratage : Il peut y avoir des documents signés avec usurpation de l'identité du signataire. C'est ennuyeux, mais est-ce vraiment grave ?
Je pense que non, ces documents signés suite à un piratage n'ont aucune valeur et ne peuvent être un engagement du signataire supposé puisque l'on sait que maintenant qu'il y a eu piratage.
C'est surtout mauvais pour leur image : un système de signature électronique n'existe que par la confiance que l'on peut leur donner et là, elle est forcément un peu ébranlée, mais leur façon de traiter le problème est en leur faveur à mon avis.
Le seul truc un peu étrange, c'est leur explication technique qui n'en dit pas beaucoup : un compte système non humain qui a été compromis. Normalement un tel compte n'a pas de mot de passe et donc, pour le compromettre, il faut soit attaquer le service par une faille, soit attaquer un compte ayant des droits administrateur de la machine où il tourne.
Un système avec zéro faille, ça n'existe pas.
Le 02/05/2024 à 11h37
Modifié le 02/05/2024 à 13h15
J'avoue que je connais surtout le partage de docs que j'ai totalement moins abandonné depuis ma migration vers un Nextcloud perso il y a plusieurs années déjà. Donc j'ai un probablement une vision biaisée de son utilisation réelle.
Le 02/05/2024 à 14h48
Il existe un site où on peut choisir une entreprise (ou secteur) et avoir l'historique toutes les CVE/fuites/* ?