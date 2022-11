Lors d'une attaque d'hameçonnage ('phishing'), une partie du code de Dropbox a été dérobée. C'est l'entreprise elle-même qui l'a révélé.

Le service de coffres-forts en ligne Dropbox déclare que les agresseurs ont eu accès à quelque 130 gisements de données privés de l'entreprise chez Github et les ont copiés. Il en résulte que le code-source et une partie des données API de Dropbox ont été volés. Par contre, des données de clients, mots de passe et renseignements liés aux paiements n'auraient pas été dérobés. 'Nous croyons que le risque pour la clientèle est minime', affirme Dropbox dans un communiqué.

La fuite a été découverte le 13 octobre, lorsque Github a observé un comportement suspect sur le compte professionnel de Dropbox. Après enquête, Dropbox prétend avoir été la victime d'une attaque d'hameçonnage. Les agresseurs ont à cette fin créé une fausse page de login à la plate-forme de codage CircleCl. Or les collaborateurs de Dropbox utilisent le même login dans Github que dans CircleCl, ce qui fait que les pirates ont réussi à mettre la main sur les données de compte pour Github.

Le 14 octobre, la faille de sécurité a été colmatée, et Dropbox signale avoir changé ces dernières semaines tous les identifiants API et les logins des développeurs. Lors de l'attaque, pas le moindre code d'applis ou d'infrastructures importantes n'aurait fuité.

