Dropbox раскрывает уязвимость после того, как хакер украл 130 репозиториев GitHub
Dropbox сообщил о нарушении безопасности после того, как злоумышленники украли 130 репозиториев кода после получения доступа к одной из учетных записей GitHub с использованием учетных данных сотрудников, украденных в ходе фишинговой атаки.
Компания обнаружила, что злоумышленники взломали учетную запись 14 октября, когда GitHub уведомил ее о подозрительной активности, которая началась за день до отправки предупреждения.
«На сегодняшний день наше расследование показало, что код, к которому обращался этот злоумышленник, содержал некоторые учетные данные — в первую очередь ключи API — используемые разработчиками Dropbox», — сообщила Dropbox во вторник.
«Код и связанные с ним данные также включали несколько тысяч имен и адресов электронной почты, принадлежащих сотрудникам Dropbox, текущим и бывшим клиентам, руководителям продаж и поставщикам (для контекста, в Dropbox зарегистрировано более 700 миллионов пользователей)».
Взлом был успешен благодоря фишинговой атаке, направленной на нескольких сотрудников Dropbox, которые использовали электронные письма, выдающие себя за платформу непрерывной интеграции и доставки CircleCI, и перенаправляли их на фишинговую целевую страницу, где их просили ввести имя пользователя и пароль GitHub.
На той же фишинговой странице сотрудников также попросили «использовать свой аппаратный ключ аутентификации для передачи одноразового пароля (OTP)».
Во время взлома было украдено 130 репозиториев кода
После кражи учетных данных Dropboxers злоумышленники получили доступ к одной из организаций Dropbox на GitHub и украли 130 репозиториев кода.
«Эти репозитории включали наши собственные копии сторонних библиотек, слегка модифицированные для использования в Dropbox, внутренние прототипы и некоторые инструменты и файлы конфигурации, используемые командой безопасности», — добавили в компании.
«Важно, что они не включали код для наших основных приложений или инфраструктуры. Доступ к этим репозиториям еще более ограничен и строго контролируется».
Dropbox добавил, что злоумышленники никогда не имели доступа к учетным записям клиентов, паролям или платежной информации, а его основные приложения и инфраструктура не пострадали в результате этого взлома.
В ответ на инцидент Dropbox работает над защитой всей своей среды с помощью WebAuthn и аппаратных токенов или биометрических факторов.
В сентябре другие пользователи GitHub также подверглись аналогичной атаке, выдав себя за платформу CircleCI и попросив их войти в свои учетные записи GitHub, чтобы принять условия пользователя и обновления политики конфиденциальности, чтобы продолжать использовать сервис.
«Хотя сам GitHub не пострадал, кампания затронула многие организации-жертвы», — говорится в сообщении GitHub.
GitHub заявил, что обнаружил утечку контента из частных репозиториев почти сразу после компрометации, при этом злоумышленники использовали VPN или прокси-сервисы, чтобы затруднить их отслеживание.
За материалами Bleepingcomputer