Mauvaise nouvelle pour les utilisateurs de Dropbox, les identifiants et les mots de passe se promènent dans la nature et plus exactement dans les champs de Pastbin !
Selon les pirates, c’est environ 7 millions de comptes en question mais ils ont publier que 400 comptes pour le moment et promettent de publier plus contre des Bitcoins, mais qui va payer de l’argent pour le plaisir d’avoir une liste de comptes et qui selon Dropbox sont des comptes obsolètes d’un autres service proposant une connexion à DropBox et qui s’est fait piraté ? C’est une question ouverte !
Reports claiming we’ve been hacked aren’t true. Your stuff is safe. More info on our blog: http://t.co/rtynCYaWUZ— Dropbox Support (@dropbox_support) 14 Octobre 2014
Si on croit vraimant à Dropbox, les comptes piratés sont dans la plupart des cas inactifs et il n’y a aucun risque dans cette affaire ! bien sure je veux bien croire moi aussi mais un chiffre de 7 millions de comptes, la je changerai mon mot de passe immédiatement et je laisserai jamais ma vie privée dans les mains des pirates qui veulent faire fortune sur mon dos.
Attention, il y a aussi un truc qui ne colle pas ! dans le cas d’un service utilisant les connexions DropBox, normalement DropBox ne doit pas envoyer le mot de passe à ce service pour le stocké dans sa base de donnée avec l’identifiant et les autres informations qui vont avec, l’authentification normalement doit se faire au niveau des serveurs DropBox , et l’utilisateur doit accorder à l’application la permission d’accéder à ses informations de base, qui comprennent le nom, la photo du profil, le sexe, les réseaux, les identifiant d’utilisateur…mais jamais le mot de passe ! et c’est la règle pour les autres services tels que Facebook, google+, twitter, linkedin, mega, hubic..etc
Alors comment ça se fait que les pirates ont une liste avec des mots de passe en claire ? Dropbox utilise Oauth2 et ne communique jamais les mots de passe de ses utilisateurs à des applications tiers et donc c’est certainement l’application lié à dropbox qui demande une inscription supplémentaire pour récupérer le mot de passe !
Quelques règles générales a respecté pour plus de sécurité :
• Activer la double authentification ou l’authentification a 2 étapes.
• Changer régulièrement vos mot de passe et périodiquement.
• Ne jamais utiliser un seul mot de passe pour les mêmes services web (Exemple : un seul mot de passe pour gmail, facebook, yahoo, linkedin et icloud )
