Piratage de 7 millions de comptes : DropBox dément l’authenticité

1
99

Les informations de connexion liées à près de 7 millions de comptes Dropbox auraient été volées par l’intermédiaire d’une application tierce. Une technique utilisée dernièrement contre Snapchat. La société dément toutefois l’authenticité des informations.

Cette nuit sont apparus pas moins de 6 937 081 identifiants et mots de passe Dropbox. C’était du moins ainsi que les pirates présentaient ces comptes sur Reddit, où ils ont été initialement publiés. Mais alors que certains identifiants semblaient fonctionner, Dropbox a indiqué que ses serveurs n’avaient pas été piratés. Cela rappelle fortement la grosse diffusion d’identifiants Gmail ayant eu lieu en septembre, information tout aussi démentie par Google à ce moment…

Près de 7 millions de paires identifiant – mot de passe associées au service de stockage en ligne sont tombées aux mains d’un pirate qui en a publié une petite partie (405, très exactement) lundi sur PasteBin. Il en a posté une deuxième salve quelques heures plus tard, visiblement après avoir reçu, comme demandé, des dons en bitcoins. Il s’agit là d’une sorte de rançon demandée par le cybercriminel :

piratage-dropbox-bitcoin

Dans une contribution de blog, Dropbox déplore cet épisode, mais exclut toute responsabilité : la faute revient à l’un des nombreux éditeurs qui exploitent ses services à travers l’interface de programmation logicielle (API) mise à leur disposition.

« Dropbox n’a pas été piraté. Ces noms d’utilisateurs et mots de passe ont été malencontreusement volés depuis d’autres services et utilisés dans des tentatives de connexions aux comptes Dropbox. Nous avions déjà détecté ces attaques et la grande majorité des mots de passe publiés ont maintenant expiré  depuis longtemps. Les autres mots de passe restants ont expiré également. »

L’entreprise explique un cas de figure qui se reproduit malheureusement bien trop souvent. Les identifiants ont été récupérés depuis d’autres sources, sans qu’on sache lesquelles, et les pirates ont simplement tenté de les utiliser avec d’autres services. Or, comme nous l’avons souvent répété dans nos colonnes, de trop nombreux utilisateurs réutilisent le même mot de passe sur d’autres services pour se simplifier. Conséquence : les pirates n’ont qu’à tester la même combinaison ailleurs pour vérifier qu’elle fonctionne.

Dans un second temps, Dropbox a passé en revue les identifiants et les mots de passe qui ont été diffusés sur Pastebin. D’après la société américaine, ces informations de connexion n’ont aucun rapport Dropbox. “Nous les avons vérifiées et aucune d’entre elles n’est associée avec le moindre compte Dropbox“, écrit la firme dans une mise à jour publiée sur son blog.

Les commentaires sont fermés.