Dropbox каза, че е бил успешно фишинг, което е довело до това, че някой е копирал 130 от хранилищата на кодове на GitHub и е предал някои от тайните идентификационни данни за API.
Шкаф за съхранение в облак във вторник Панта Проникване и заяви, че „ничие съдържание, пароли или информация за плащане не са били достъпни и проблемът е бил бързо разрешен“.
„Вярваме, че рисковете за клиентите са минимални“, добави Пийз.
Проблемът със сигурността се появи на 13 октомври, когато GitHub на Microsoft откри подозрително поведение на фирмения акаунт на Dropbox. GitHub каза на Dropbox на следващия ден и инсталациите за съхранение в облак бяха разследвани. Dropbox установи, че е станал жертва на измамник, който се представя за платформата за интегриране на кодове CircleCI.
Dropbox е потребител на CircleCI за „специфично вътрешно разпространение“. Служителите на Dropbox използват своите акаунти в GitHub за достъп до хранилищата на кодове на Dropbox, а техните данни за вход в GitHub също ги отвеждат до CircleCI. Знаете накъде води това: Вземете данните за вход в GitHub на своя Dropbox инженер, като се преструвате, че сте CircleCI, използвайте тази информация, за да влезете във вашата организация на Dropbox GitHub, и след това преминете през частните хранилища.
Интересното е, че само три седмици преди атаката срещу GitHub предупреден Една от фишинг кампаниите, включващи имитиране на CircleCI. Dropbox изглежда не получи бележката, защото в началото на октомври нейните служители – и един или повече членове на борда паднаха – изпратиха имейли, маскирани като легитимни съобщения на CircleCI.
Обяснението на Dropbox гласи, че „тези легитимно изглеждащи имейли насочват служителите да посетят фалшива страница за вход в CircleCI, да въведат своето потребителско име и парола за GitHub и след това да използват ключ за хардуерно удостоверяване, за да предадат еднократна парола (OTP) на злонамерения сайт.“ Този сайт ще събира въведените данни за вход, така че злоумишлениците да могат да използват информацията и да влязат в GitHub акаунта на жертвата и да получат достъп до работещите хранилища.
Тази тактика в крайна сметка проработи, тъй като заплахата даде достъп до една от нашите GitHub организации, където те продължиха да копират 130 от нашите хранилища на кодове.
Dropbox не изглеждаше прекалено загрижен за инцидента, тъй като хранилищата „включваха наши собствени копия на библиотеки на трети страни, които бяха леко модифицирани за използване от Dropbox, вътрешни прототипи и някои инструменти и конфигурационни файлове, използвани от екипа по сигурността“.
Изглежда, че няма достъп до код за основни приложения или инфраструктура.
Dropbox също така каза, че достъпът на нарушителя до репо силоза на GitHub е бил отменен на 14 октомври и че оттогава облачното хранилище е циклично циклизирало всички идентификационни данни за API на разработчици, до които хакерът е успял да получи достъп. Компанията също нае външни следователи, за да прегледат констатациите си, всички от които заключиха, че не е открита злоупотреба с копирания код.
Пишещата компания каза, че вече работи за борба с този тип инцидент чрез надграждане на своите системи за двуфакторна автентификация до многофакторна автентификация WebAuthn и скоро ще използва хардуерни токени или биометрични данни в цялата си среда. Тези усилия бяха ускорени след атаката.
Dropbox се извини за шума и обеща по-добра производителност – но се съгласи с това, като каза, че екипът по сигурността на biz вярва, че е неизбежно някои фишинг атаки да успеят, дори и с най-добрия технически контрол. ®