Il y a deux semaines, beaucoup Boîte de dépôt les utilisateurs ont commencé à suspecter une violation de données sur le service de partage de fichiers en ligne après avoir commencé à recevoir du spam sur des adresses e-mail qu’ils avaient créées spécifiquement pour être utilisées par Dropbox. Aujourd’hui, la société a confirmé ces soupçons, blâmant l’incident sur un employé de Dropbox qui avait réutilisé son mot de passe Dropbox sur un autre site piraté.
Dans une déclaration sorti ce soir sur son blog, DropBox’s Aditya Agarwal a écrit:
Notre enquête a révélé que des noms d’utilisateur et des mots de passe récemment volés sur d’autres sites Web ont été utilisés pour se connecter à un petit nombre de comptes Dropbox. Nous avons contacté ces utilisateurs et les avons aidés à protéger leurs comptes.
Un mot de passe volé a également été utilisé pour accéder au compte Dropbox d’un employé contenant un document de projet avec les adresses e-mail des utilisateurs. Nous pensons que cet accès inapproprié est à l’origine du spam. Nous en sommes désolés et avons mis en place des contrôles supplémentaires pour nous assurer que cela ne se reproduise plus.
Une porte-parole de Dropbox a déclaré que la société n’était pas prête à divulguer le nombre d’informations d’identification de compte d’utilisateur pouvant avoir été compromises par ce mot de passe oups, notant que l’enquête est toujours en cours.
La société indique qu’elle prévoit de déployer des mesures de sécurité supplémentaires qui devraient aider les utilisateurs à protéger leurs comptes Dropbox même si les utilisateurs (ou les employés, supposément) perdent les mots de passe du compte, y compris l’authentification à deux facteurs (Dropbox dit que cela arrivera « dans quelques semaines ”), et de nouveaux mécanismes automatisés pour aider à identifier les activités suspectes, ainsi qu’une page qui permet aux utilisateurs d’examiner toutes les connexions actives.
La réutilisation des mots de passe est un non-non majeur pour les services importants. Pour plus de conseils sur la façon de choisir des mots de passe décents et d’éviter ces problèmes, consultez cette introduction.