Nouveau cas de piratage massif ? Sur Pastebin, un hacker a publié lundi une liste de 400 noms d'utilisateur (en l'occurrence des adresses email) et mots de passe en clair qui seraient issus de la compromission de comptes Dropbox.
Son appel aux dons n'a pour le moment pas été suivi… une unique transaction à 0,0001 bitcoins. D'autant que Dropbox réfute tout cas de piratage sur ses systèmes.
" Ces noms d'utilisateur et mots de passe ont été dérobés depuis des services tiers, pas Dropbox. Les attaquants ont utilisé ces identifiants volés pour essayer de se connecter à des sites, dont Dropbox. Nous avons des mesures en place pour détecter des activités de connexion suspectes et nous réinitialisons automatiquement les mots de passe lorsque cela arrive. "
Une mise à jour du billet de blog de Dropbox précise que sur la liste d'identifiants publiés, aucun d'entre eux n'étaient associés à des comptes Dropbox. Auparavant, Dropbox avait un discours légèrement différent pour dire que les mots de passe publiés étaient obsolètes.
Cette affaire rappelle celle de la publication de 5 millions d'adresses Gmail et mots de passe qui a eu un impact sur des comptes WordPress.com. Les services soi-disant hackés ne sont en fait pas directement concernés mais un risque existe à cause d'une pratique des internautes consistant à réutiliser de mêmes identifiants pour plusieurs services.
Du moins pour des comptes sensibles, cette pratique est à proscrire. Comme Google et Apple avec iCloud, Dropbox recommande en outre le recours à la validation en deux étapes.
