La plate-forme de stockage en nuage en ligne Dropbox a révélé qu’elle avait subi une violation de données qui a vu des pirates accéder au code interne.
Fin septembre, nous avons signalé comment des comptes GitHub avaient été volés par de faux employés de CircleCI – et il semble maintenant que Dropbox ait également été la proie de la même attaque.
Dans un article de blog (s’ouvre dans un nouvel onglet), Dropbox a déclaré que GitHub avait attiré son attention sur des activités suspectes dans son compte, à la mi-octobre. Après une enquête plus approfondie, Dropbox a découvert qu’un acteur malveillant se faisant passer pour CircleCI était celui qui accédait à l’un de ses comptes GitHub.
Clés API et adresses e-mail
Alors que toute violation de périmètre est un désastre potentiel, l’annonce de Dropbox donne l’impression qu’il ne s’agissait que d’un incident mineur.
« A aucun moment, cet acteur de la menace n’a eu accès au contenu du compte Dropbox de quiconque, à son mot de passe ou à ses informations de paiement », indique le blog.
Celui qui était à l’origine de l’attaque a réussi à accéder à un code d’entreprise contenant des clés API utilisées par les développeurs de Dropbox. Ils ont également accédé aux données d’identité (s’ouvre dans un nouvel onglet)y compris « quelques milliers de noms et d’adresses e-mail appartenant aux employés de Dropbox, aux clients actuels et passés, aux prospects et aux fournisseurs », sur une base de données de plus de 700 millions d’utilisateurs enregistrés.
« Bien que nous pensons que tout risque pour eux est minime, nous avons informé les personnes concernées », a conclu la société.
Pour éviter que des incidents similaires ne se reproduisent, Dropbox annonce qu’il accélérera son adoption de WebAuthn, une norme ouverte qui permet aux serveurs Web d’enregistrer et d’authentifier les utilisateurs à l’aide de la cryptographie asymétrique, au lieu d’un mot de passe. Pour Dropbox, WebAuthn est « actuellement la référence absolue » en matière d’authentification multifacteur.
« Bientôt, tout notre environnement sera sécurisé par WebAuthn avec des jetons matériels ou des facteurs biométriques », a ajouté la société.
L’attaque d’usurpation d’identité de CircleCI contre les utilisateurs de GitHub a été repérée pour la première fois fin septembre de cette année.
À l’époque, il a été signalé que si les pirates parviennent à en pénétrer un, la prochaine chose qu’ils feront est de créer des jetons d’accès personnels (PAT), d’autoriser les applications OAuth et même d’ajouter des clés SSH au compte, pour s’assurer qu’ils conserver l’accès même après que les propriétaires ont changé le mot de passe. Après cela, ils prendront des données à partir de référentiels privés. La société a depuis bloqué un certain nombre de comptes, dont la compromission a été confirmée. Tous les utilisateurs potentiellement concernés ont vu leur mot de passe de compte réinitialisé.