To Dropbox δημοσιοποίησε μια παραβίαση ασφαλείας μετά την κλοπή 130 αποθετηρίων κώδικα (code repositories) από κακόβουλα άτομα που απέκτησαν πρόσβαση σε έναν από τους λογαριασμούς της εταιρείας στο GitHub.

Για να το καταφέρουν, χρησιμοποίησαν διαπιστευτήρια υπαλλήλων που εκλάπησαν σε προηγούμενη επίθεση phishing.

Η εταιρεία ανακάλυψε ότι οι επιτιθέμενοι παραβίασαν τον λογαριασμό της στις 14 Οκτωβρίου, όταν το GitHub την ενημέρωσε για ύποπτη δραστηριότητα που ξεκίνησε μία ημέρα πριν από την αποστολή της ειδοποίησης.

«Μέχρι σήμερα, έχουμε διαπιστώσει με βάση την έρευνά μας ότι ο κώδικας στον οποίο είχε πρόσβαση ο δράστης περιείχε κάποια διαπιστευτήρια -κυρίως, κλειδιά API- που χρησιμοποιούνται από προγραμματιστές του Dropbox», αποκάλυψε η εταιρεία την Τρίτη. «Ο κώδικας και τα δεδομένα γύρω από αυτόν περιλάμβαναν επίσης χιλιάδες ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκουν σε υπαλλήλους του Dropbox, τρέχοντες και προηγούμενους πελάτες, πελάτες πωλήσεων και πωλητές. Με βάση τα τελευταία επίσημα στατιστικά, το Dropbox έχει περισσότερους από 700 εκατομμύρια εγγεγραμμένους χρήστες.

image.png.e7757b68bd405cb408caad5632635f9f.png

Η επιτυχημένη παραβίαση προέκυψε από μια επίθεση phishing που στόχευσε πολλούς υπαλλήλους της Dropbox χρησιμοποιώντας μηνύματα ηλεκτρονικού ταχυδρομείου που παρίσταναν την υπηρεσία CircleCI και τους ανακατεύθυναν σε μια σελίδα phishing, όπου εκεί τους ζητούνταν να εισάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στο GitHub.

Στην ίδια σελίδα phishing, ζητήθηκε επίσης από τους υπαλλήλους να χρησιμοποιήσουν το hardware authentication κλειδί τους για να περάσουν έναν κωδικό πρόσβασης μίας χρήσης (One Time Password). Αφού έκλεψαν τα διαπιστευτήρια των Dropboxers, οι επιτιθέμενοι απέκτησαν πρόσβαση σε ένα από τα GitHub Organizations του Dropbox και έκλεψαν 130 από τα code repositories του.

«Αυτά τα αποθετήρια περιλάμβαναν τα δικά μας αντίγραφα βιβλιοθηκών τρίτων κατασκευαστών ελαφρώς τροποποιημένων για χρήση από το Dropbox, εσωτερικά πρωτότυπα, ορισμένα εργαλεία και αρχεία ρυθμίσεων που χρησιμοποιούνται από την ομάδα ασφαλείας», πρόσθεσε η εταιρεία. «Είναι σημαντικό ότι δεν περιλάμβαναν κώδικα για τις βασικές εφαρμογές ή την υποδομή μας. Η πρόσβαση σε αυτά τα αποθετήρια είναι ακόμη πιο περιορισμένη και αυστηρά ελεγχόμενη».

Το Dropbox πρόσθεσε ότι οι επιτιθέμενοι δεν είχαν ποτέ πρόσβαση σε λογαριασμούς πελατών, κωδικούς πρόσβασης ή πληροφορίες πληρωμών και οι βασικές εφαρμογές και υποδομές της δεν επηρεάστηκαν ως αποτέλεσμα της παραβίασης.

Ως μια πρώτη αντίδραση στο περιστατικό, το Dropbox εργάζεται για την εξασφάλιση ολόκληρου του περιβάλλοντός του χρησιμοποιώντας WebAuthn και hardware tokens παράλληλα με βιομετρικούς παράγοντες. Τον Σεπτέμβριο, άλλοι χρήστες του GitHub έγιναν επίσης στόχος μιας παρόμοιας επίθεσης που προσποιούνταν την πλατφόρμα CircleCI και τους ζητούσε να συνδεθούν στους λογαριασμούς τους στο GitHub για να αποδεχτούν τους όρους χρήσης και τις ενημερώσεις της πολιτικής απορρήτου για να συνεχίσουν να χρησιμοποιούν την υπηρεσία.

Το GitHub δήλωσε ότι εντόπισε την εξαγωγή περιεχομένου από ιδιωτικά αποθετήρια σχεδόν αμέσως μετά την παραβίαση, με τους επιτιθέμενους να χρησιμοποιούν υπηρεσίες VPN ή proxy για να κάνουν πιο δύσκολο τον εντοπισμό τους.

  • Like 2