GitHub kullanıcılarını hedefleyen devasa bir kimlik avı kampanyası, Dropbox’taki en az bir geliştiriciyi kimlik bilgilerini ve iki faktörlü bir kimlik doğrulama kodunu girmeye ikna etti ve en az 130 yazılım kodu deposunun çalınmasına yol açtı.
1 Kasım’daki bir Dropbox tavsiyesine göre, Ekim ortası saldırısı, popüler bir DevOps platformu olan CircleCI’den geliyormuş gibi görünen ve Dropbox çalışanlarını sahte bir giriş sayfasına gitmeye, GitHub kimlik bilgilerini girmeye ve ardından yönlendirilen e-postalardan oluşuyordu. bir donanım anahtarı tarafından oluşturulan tek seferlik parolayı girin.
Saldırgan sonunda en az bir hedefle başarılı oldu, üçüncü taraf kitaplıkların özelleştirilmiş sürümlerini, dahili yazılım projelerinin prototiplerini ve Dropbox güvenlik ekibi tarafından sağlanan bir dizi araç ve yapılandırma dosyasını içeren 130 kod deposuna erişip bunları kopyaladı.
Saldırganlar, şirketin çekirdek yazılımına veya altyapısını yapılandırmak ve işletmek için kullanılan dosyalara erişim sağlamadı, Dropbox tavsiyesinde şunları söyledi:.
Şirket, “Güvenlik ekiplerimiz, açıkta kalan tüm geliştirici kimlik bilgilerinin rotasyonunu koordine etmek ve varsa hangi müşteri verilerine erişildiğini veya çalındığını belirlemek için hemen harekete geçti” dedi. “Günlüklerimizi de inceledik ve başarılı bir kötüye kullanım kanıtı bulamadık.”
GitHub Geliştiricileri: Siber Artılarda
Saldırganların hedef aldığı tek geliştiriciler Dropbox programcıları değildi. Eylül ayında GitHub, bir tehdit grubunun hizmet kullanıcılarını aynı taktikle hedef almaya başladığı konusunda uyardı: Kullanıcı kimlik bilgilerini ve geliştiriciler tarafından kullanılan tek seferlik şifreleri ikinci bir faktör olarak toplamak amacıyla CircleCI’den geldiği iddia edilen kimlik avı e-postaları. kimlik doğrulama.
Riskler yüksektir: Bir geliştiricinin kimlik bilgilerini başarıyla çalan bir saldırgan, güvenliği ihlal edilen hesabın erişiminin olduğu herhangi bir özel depodan kod indirebilir ve kişisel erişim belirteçleri oluşturma, SSH anahtarları ekleme ve aşağıdakileri kullanarak uygulamaları yetkilendirme gibi çeşitli teknikler kullanabilir. OAuth — erişimin kalıcılığını sağlamak için GitHub Eylül tavsiyesinde belirtilen.
Danışmanlık, “GitHub’ın kendisi etkilenmezken, kampanya birçok mağdur kuruluşu etkiledi” dedi.
Dropbox Müşterilerine “Minimal” Siber Riskler
Dropbox geliştiricisine yapılan saldırı, saldırganların “Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış liderlerine ve satıcılara ait birkaç bin isim ve e-posta adresini” ele geçirmesine izin verdi, Dropbox’ın 700 milyondan fazla kayıtlı kullanıcısı olduğunu da sözlerine ekledi. Buna rağmen, müşteriler, ortaklar ve çalışanlar için gizlilik riskleri “minimum” düzeydedir, Dropbox korunur.
Dropbox yaptığı açıklamada, “Bu tehdit aktörünün hiçbir zaman birinin Dropbox hesabının içeriğine, şifresine veya ödeme bilgilerine erişimi olmadı” dedi. “Bugüne kadar, araştırmamız, bu tehdit aktörü tarafından erişilen kodun, Dropbox geliştiricileri tarafından kullanılan bazı kimlik bilgilerini (öncelikle API anahtarları) içerdiğini tespit etti.”
Geliştiriciler, saldırganların giderek daha popüler bir hedefi haline geldi. Örneğin, çalınan Slack kimlik bilgileri, Take-Two Interactive’in Rockstar Games’i de dahil olmak üzere yazılım ve oyun yapımcılarındaki geliştirici hesaplarının tehlikeye atılmasına izin verdi.
Çoğu güvenlik uzmanı gibi, Dropbox da insanların – en teknik ve bilgili kullanıcıların bile – yanılabilir olduğunu ve bu nedenle teknik kontrollerin önemli olmaya devam ettiğini vurguladı.
Şirket, “En şüpheci, uyanık profesyonel bile, doğru zamanda doğru şekilde iletilen, özenle hazırlanmış bir mesajın tuzağına düşebilir” dedi. “Tam olarak bu nedenle kimlik avı bu kadar etkili kalıyor ve teknik kontroller bu tür saldırılara karşı en iyi koruma olmaya devam ediyor.”
Kimlik Avına Karşı Dirençli Altyapı Nasıl Kullanılır?
Çok faktörlü kimlik doğrulama (MFA), kimlik bilgileri için kimlik avını çok daha zor hale getirir, ancak imkansız değildir. Güvenlik bilinci ve eğitim sağlayıcısı KnowBe4’ün müjdecisi Javvad Malik, Dark Reading’e yaptığı açıklamada, saldırganların zamana dayalı tek seferlik şifreler (TOTP’ler) etrafında yollar bulduğunu söyledi.
“MFA’nın benimsenmesinin popülaritesi arttıkça, suçluların yöntemlerini kullanıcıları giderek daha karmaşık yollarla kandırarak MFA kontrollerini atlamak için uyarladığını görüyoruz” dedi. “Bu nedenle, sosyal mühendislik saldırılarının başarılı olma olasılığının daha düşük olması için kimlik avına dayanıklı MFA şiddetle tavsiye edilir.”
GitHub, danışma belgesinde, şirketlerin bunun yerine, bir kullanıcının yanlışlıkla bir saldırgana teslim edemeyeceği kodlar olan donanım güvenlik anahtarlarına veya iki faktörlü kimlik doğrulama için donanım anahtarlarını kullanmanın standartlara dayalı bir yolu olan WebAuthn’a geçmeleri gerektiğini vurguladı.
Şirket, Dropbox’ın ikinci yola çoktan başladığını söyledi.
Dropbox, tavsiyesinde, “Bu olaydan önce, oltalamaya karşı daha dirençli bu çok faktörlü kimlik doğrulama biçimini benimseme sürecindeydik,” dedi. “Yakında, tüm ortamımız WebAuthn tarafından donanım belirteçleri veya biyometrik faktörlerle güvence altına alınacak.”
