Il y a quelques semaines, le bruit a circulé que certains utilisateurs de Dropbox recevaient des spams, alimentant les craintes que Dropbox ait été compromis. Dropbox a fait appel à des experts externes pour enquêter sur le problème, et hier, ils ont annoncé les résultats.
Selon le blog de Dropbox, la cause profonde du spam était en fait le piratage d’un site Web différent (et non mentionné). Les pirates ont pris les informations d’identification volées sur ce site et ont compromis les comptes de quelques utilisateurs de Dropbox qui se trouvaient utiliser le même nom d’utilisateur et le même mot de passe pour les deux services. Malheureusement, l’un de ces utilisateurs de Dropbox était en fait un employé de Dropbox, et cet employé stockait un document non crypté contenant les adresses électroniques de certains clients de Dropbox. Comme on pouvait s’y attendre, ces adresses ont été spammées.
Dropbox tente de rassurer les utilisateurs sur la sécurité de leur service, en déclarant qu’ils ont » mis en place des contrôles supplémentaires pour aider à s’assurer que cela ne se reproduise pas. » Ils ont également annoncé plusieurs nouvelles fonctionnalités de sécurité, notamment l’authentification à deux facteurs, une page pour surveiller les connexions actives à votre compte, une surveillance automatisée en coulisses pour détecter toute activité suspecte et, dans certains cas, des changements de mot de passe obligatoires.
Cette histoire présente une myriade de leçons de sécurité pour les avocats et tous les professionnels qui détiennent des données sensibles :
Utilisez des mots de passe uniques pour chaque site et service, en particulier ceux où vous avez l’intention de stocker des informations confidentielles. La controverse actuelle n’aurait jamais éclaté si les utilisateurs n’avaient pas utilisé les mêmes identifiants pour Dropbox et d’autres services ou sites. Dans la mesure du possible, assurez-vous que les données confidentielles que vous mettez en ligne sont cryptées. Si l’employé de Dropbox dont il est question ci-dessus avait crypté le document contenant les adresses électroniques des utilisateurs avant de le mettre en ligne, ces adresses n’auraient jamais été spammées. Faites vos recherches avant de confier des données sensibles à un fournisseur. Certains fournisseurs ont des antécédents douteux en matière de sécurité et de confidentialité, en particulier les fournisseurs qui se concentrent sur le marché des consommateurs plutôt que sur celui des entreprises. Les avocats peuvent avoir besoin d’éviter ces fournisseurs ou du moins de prendre des précautions supplémentaires lorsqu’ils utilisent leurs services. Tenez-vous informé. Suivre les dernières nouvelles en matière de sécurité, ne serait-ce qu’une ou deux fois par semaine, vous aidera à garder une longueur d’avance sur les problèmes de sécurité les plus importants. Si vous ne vous sentez pas à l’aise avec votre propre compréhension de la sécurité des données, ou si vous voulez simplement aller plus loin, investissez dans un expert externe qui examinera vos systèmes périodiquement. Mettez en place un plan pour répondre à une violation de la sécurité si elle devait se produire. Même le cabinet le plus sécurisé peut être victime d’un nouveau virus, d’une attaque sophistiquée ou d’une erreur de jugement momentanée de la part d’un employé. Assurez-vous de prendre en compte toutes les lois applicables en matière de notification des violations de données.
