Çevrimiçi bulut depolama platformu Dropbox, bilgisayar korsanlarının dahili koda eriştiğini gören bir veri ihlali yaşadığını açıkladı.
Eylül ayının sonlarında, GitHub hesaplarının sahte CircleCI çalışanları tarafından nasıl çalındığını bildirmiştik – ve şimdi Dropbox’ın da aynı saldırıya kurban gittiği görülüyor.
İçinde Blog yazısı (yeni sekmede açılır)Dropbox, GitHub’ın Ekim ayı ortasında hesabındaki şüpheli etkinliklere dikkat çektiğini söyledi. Daha kapsamlı bir araştırmadan sonra Dropbox, CircleCI’denmiş gibi davranan bir tehdit aktörünün GitHub hesaplarından birine eriştiğini buldu.
API anahtarları ve e-posta adresleri
Herhangi bir çevre ihlali potansiyel bir felaket olsa da, Dropbox’ın duyurusu bunun küçük bir olaydan başka bir şey olmadığı izlenimini veriyor.
Blogda, “Bu tehdit aktörü hiçbir zaman kimsenin Dropbox hesabının içeriğine, şifresine veya ödeme bilgilerine erişemedi” diyor.
Saldırının arkasında kim varsa, Dropbox geliştiricileri tarafından kullanılan API anahtarlarını içeren bazı şirket kodlarına erişmeyi başardı. Kimlik verilerine de eriştiler (yeni sekmede açılır)700 milyondan fazla kayıtlı kullanıcıdan oluşan bir veritabanından “Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış adaylarına ve satıcılara ait birkaç bin isim ve e-posta adresi” dahil.
Şirket, “Onlar için herhangi bir riskin minimum olduğuna inansak da, etkilenenleri bilgilendirdik” dedi.
Dropbox, benzer olayların tekrar olmasını önlemek için, web sunucularının bir parola yerine asimetrik kriptografi kullanarak kullanıcıları kaydetmesine ve doğrulamasına olanak tanıyan açık bir standart olan WebAuthn’u benimsemesini hızlandıracağını söylüyor. Dropbox için WebAuthn, çok faktörlü kimlik doğrulamada “şu anda altın standarttır”.
Şirket, “Yakında tüm ortamımız WebAuthn tarafından donanım belirteçleri veya biyometrik faktörlerle güvence altına alınacak” diye ekledi.
GitHub kullanıcılarına yönelik CircleCI kimliğe bürünme saldırısı ilk olarak bu yıl Eylül ayının sonlarında tespit edildi.
O zamanlar, tehdit aktörleri bir tanesine girmeyi başarırlarsa, yapacakları bir sonraki şeyin kişisel erişim belirteçleri (PAT’ler) oluşturmak, OAuth uygulamalarını yetkilendirmek ve hatta hesaba SSH anahtarları eklemek olduğu bildirildi. sahipler şifreyi değiştirdikten sonra bile erişimi koruyun. Bundan sonra özel depolardan veri alacaklar. Şirket o zamandan beri bir dizi hesabı bloke etti ve güvenliği ihlal edildiği doğrulandı. Potansiyel olarak etkilenen tüm kullanıcıların hesap şifreleri sıfırlandı.