Usługa hostingu plików Dropbox ujawniła we wtorek, że padła ofiarą kampanii phishingowej, która umożliwiła niezidentyfikowanym cyberprzestępcom uzyskanie nieautoryzowanego dostępu do 130 repozytoriów jej kodu źródłowego w serwisie GitHub.
„Te repozytoria zawierały nasze własne kopie bibliotek innych firm, nieco zmodyfikowane do użytku przez Dropbox, wewnętrzne prototypy oraz niektóre narzędzia i pliki konfiguracyjne używane przez zespół ds. bezpieczeństwa”
– ujawniła firma w swoim doradztwie.
W wyniku naruszenia uzyskano dostęp do niektórych kluczy API używanych przez programistów Dropbox, a także „kilka tysięcy nazwisk i adresów e-mail należących do pracowników Dropbox, obecnych i byłych klientów, leadów sprzedażowych i dostawców”.
Podkreślił jednak, że repozytoria nie zawierają kodu źródłowego związanego z jego podstawowymi aplikacjami lub infrastrukturą.
Dropbox, który oferuje między innymi usługi przechowywania w chmurze, tworzenia kopii zapasowych danych i podpisywania dokumentów, ma ponad 17,37 mln płacących użytkowników i 700 mln zarejestrowanych użytkowników według stanu na sierpień 2022 r .
Ujawnienie nastąpiło ponad miesiąc po tym, jak zarówno GitHub, jak i CircleCI ostrzegły przed atakami phishingowymi mającymi na celu kradzież danych uwierzytelniających GitHub poprzez fałszywe powiadomienia rzekomo pochodzące z platformy CI/CD.
Firma z siedzibą w San Francisco zauważyła, że na początku października „wielu Dropboxerów otrzymało wiadomości phishingowe podszywające się pod CircleCI”, z których część prześlizgnęła się przez automatyczne filtry antyspamowe i trafiła do skrzynek pocztowych pracowników.
„Te autentycznie wyglądające e-maile kierowały pracowników do odwiedzenia fałszywej strony logowania CircleCI, wprowadzenia nazwy użytkownika i hasła GitHub, a następnie użycia klucza uwierzytelniania sprzętowego do przekazania hasła jednorazowego (OTP) do złośliwej witryny” – wyjaśnił Dropbox.
Dlatego warto rozważyć stosowanie klucza fizycznego np Yubikey
Firma nie ujawniła, ilu jej pracowników padło ofiarą ataku phishingowego, ale poinformowała, że podjęła natychmiastowe działania w celu rotacji wszystkich ujawnionych danych uwierzytelniających programistów i zaalarmowała organy ścigania.
Powiedział również, że nie znalazł dowodów na to, że jakiekolwiek dane klientów zostały skradzione w wyniku incydentu, dodając, że aktualizuje swoje systemy uwierzytelniania dwuskładnikowego, aby obsługiwały sprzętowe klucze bezpieczeństwa w celu ochrony przed phishingiem.
„Czujni profesjonaliści mogą paść ofiarą starannie opracowanej wiadomości dostarczonej we właściwy sposób we właściwym czasie”
– podsumowała firma.
„Właśnie dlatego phishing jest tak skuteczny”.
Źródło:
https://dropbox.gcs-web.com/news-releases/news-release-details/dropbox-announces-second-quarter-fiscal-2022-results https://thehackernews.com/2022/09/hackers-using-fake-circleci.html
