Dosya barındırma hizmeti Dropbox Salı günü, kimliği belirsiz tehdit aktörlerinin GitHub’daki 130 kaynak kodu deposuna yetkisiz erişim sağlamasına izin veren bir kimlik avı kampanyasının kurbanı olduğunu açıkladı.
Şirket, “Bu depolar, Dropbox tarafından kullanılmak üzere biraz değiştirilmiş üçüncü taraf kitaplıklarımızın kendi kopyalarını, dahili prototipleri ve güvenlik ekibi tarafından kullanılan bazı araçları ve yapılandırma dosyalarını içeriyordu.” meydana çıkarmak bir danışma belgesinde.
İhlal, Dropbox geliştiricileri tarafından kullanılan bazı API anahtarlarının yanı sıra “Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış liderlerine ve satıcılara ait birkaç bin ad ve e-posta adresine” erişimiyle sonuçlandı.
Bununla birlikte, depoların temel uygulamaları veya altyapısı ile ilgili kaynak kodu içermediğini vurguladı.
Diğerlerinin yanı sıra bulut depolama, veri yedekleme ve belge imzalama hizmetleri sunan Dropbox’ın, 17,37 milyonun üzerinde ödeme yapan ve 700 milyon kayıtlı kullanıcısı bulunuyor. Ağustos 2022.
Açıklama, hem GitHub hem de CircleCI’nin, CI/CD platformundan geldiği iddia edilen sahte bildirimler yoluyla GitHub kimlik bilgilerini çalmak için tasarlanmış kimlik avı saldırıları konusunda uyarmasından bir aydan fazla bir süre sonra geldi.
San Francisco merkezli firma, Ekim ayı başlarında “birden fazla Dropboxer’ın CircleCI’yi taklit eden kimlik avı e-postaları aldığını” ve bunların bir kısmının otomatik spam filtrelerinden geçerek çalışanların e-posta gelen kutularına düştüğünü belirtti.
Dropbox, “Bu meşru görünen e-postalar, çalışanları sahte bir CircleCI giriş sayfasını ziyaret etmeye, GitHub kullanıcı adlarını ve şifrelerini girmeye ve ardından kötü niyetli siteye Tek Kullanımlık Şifre (OTP) iletmek için donanım doğrulama anahtarlarını kullanmaya yönlendirdi” dedi.
Şirket, kaç çalışanının kimlik avı saldırısına düştüğünü açıklamadı, ancak açıkta kalan tüm geliştirici kimlik bilgilerini döndürmek için derhal harekete geçtiğini ve kolluk kuvvetlerini uyardığını söyledi.
Ayrıca, olay sonucunda herhangi bir müşteri verisinin çalındığına dair hiçbir kanıt bulunmadığını ve iki faktörlü kimlik doğrulama sistemlerini destekleyecek şekilde yükselttiğini de sözlerine ekledi. donanım güvenlik anahtarları kimlik avı direnci için.
Şirket, “Uyanık profesyoneller, doğru zamanda doğru şekilde teslim edilen özenle hazırlanmış bir mesajın tuzağına düşebilir,” sonucuna varmıştır. “Tam olarak bu yüzden kimlik avı bu kadar etkili kalıyor.”