Bien que les pirates aient pu accéder à des informations clients, l’entreprise n’a relevé aucune preuve d'accès non autorisé au contenu des comptes des utilisateurs.
Suite à un accès non autorisé dans son environnement de production Dropbox Sign, Dropbox a lancé une enquête approfondie. Résultat des courses : il a été découvert qu’un acteur malveillant a accédé à des informations des clients telles que des courriels, des noms d'utilisateur, des numéros de téléphone, des mots de passe hachés et des paramètres généraux du compte.
« Pour ceux qui ont reçu ou signé un document via Dropbox Sign, mais n'ont jamais créé de compte, les adresses e-mail et les noms ont également été exposés (…) Si vous avez créé un compte Dropbox Sign ou HelloSign, mais n'avez pas configuré de mot de passe avec nous (par exemple, "Inscription avec Google"), aucun mot de passe n'a été stocké ou exposé », a précisé Dropbox dans son communiqué.
Dropbox s’excuse
L’entreprise, qui assure se fixer des normes « élevées » afin de protéger ses clients, s’est excusée de ne pas avoir « atteint cette norme ici ». Dropbox a indiqué que l’incident était isolé à l'infrastructure de Dropbox Sign et n'avait pas affecté d'autres produits Dropbox. Les personnes concernées ont été contactées et invitées à appliquer des mesures de protection. L’équipe de sécurité de l'entreprise a réinitialisé les mots de passe, déconnecté les comptes de Dropbox Sign et coordonné la rotation des clés API et jetons OAuth. Une FAQ a été mise en ligne afin de répondre aux éventuelles interrogations de ses clients.