Dropbox сообщил о нарушении безопасности после того, как злоумышленники украли 130 репозиториев кода после получения доступа к одной из учетных записей GitHub с использованием учетных данных сотрудников, украденных в ходе фишинговой атаки.
Компания обнаружила, что злоумышленники взломали учетную запись 14 октября, когда GitHub уведомил ее о подозрительной активности, которая началась за день до отправки предупреждения.
«На сегодняшний день наше расследование показало, что код, к которому обращался этот злоумышленник, содержал некоторые учетные данные — в первую очередь ключи API — используемые разработчиками Dropbox», — сообщила Dropbox во вторник.
«Код и связанные с ним данные также включали несколько тысяч имен и адресов электронной почты, принадлежащих сотрудникам Dropbox, текущим и бывшим клиентам, руководителям продаж и поставщикам (для контекста, в Dropbox зарегистрировано более 700 миллионов пользователей)».
Взлом был успешен благодоря фишинговой атаке, направленной на нескольких сотрудников Dropbox, которые использовали электронные письма, выдающие себя за платформу непрерывной интеграции и доставки CircleCI, и перенаправляли их на фишинговую целевую страницу, где их просили ввести имя пользователя и пароль GitHub.
На той же фишинговой странице сотрудников также попросили «использовать свой аппаратный ключ аутентификации для передачи одноразового пароля (OTP)».
После кражи учетных данных Dropboxers злоумышленники получили доступ к одной из организаций Dropbox на GitHub и украли 130 репозиториев кода.
«Эти репозитории включали наши собственные копии сторонних библиотек, слегка модифицированные для использования в Dropbox, внутренние прототипы и некоторые инструменты и файлы конфигурации, используемые командой безопасности», — добавили в компании.
«Важно, что они не включали код для наших основных приложений или инфраструктуры. Доступ к этим репозиториям еще более ограничен и строго контролируется».
Dropbox добавил, что злоумышленники никогда не имели доступа к учетным записям клиентов, паролям или платежной информации, а его основные приложения и инфраструктура не пострадали в результате этого взлома.
В ответ на инцидент Dropbox работает над защитой всей своей среды с помощью WebAuthn и аппаратных токенов или биометрических факторов.
В сентябре другие пользователи GitHub также подверглись аналогичной атаке, выдав себя за платформу CircleCI и попросив их войти в свои учетные записи GitHub, чтобы принять условия пользователя и обновления политики конфиденциальности, чтобы продолжать использовать сервис.
«Хотя сам GitHub не пострадал, кампания затронула многие организации-жертвы», — говорится в сообщении GitHub.
GitHub заявил, что обнаружил утечку контента из частных репозиториев почти сразу после компрометации, при этом злоумышленники использовали VPN или прокси-сервисы, чтобы затруднить их отслеживание.
За материалами Bleepingcomputer