El servicio de alojamiento de archivos Dropbox reveló el martes que fue víctima de una campaña de phishing que permitió a actores de amenazas no identificados obtener acceso no autorizado a 130 de sus repositorios de código fuente en GitHub.
«Estos repositorios incluían nuestras propias copias de bibliotecas de terceros ligeramente modificadas para su uso en Dropbox, prototipos internos y algunas herramientas y archivos de configuración utilizados por el equipo de seguridad», dijo la empresa. reveló en un aviso.
La violación resultó en el acceso a algunas claves de API utilizadas por los desarrolladores de Dropbox, así como a «unos pocos miles de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, clientes actuales y anteriores, clientes potenciales de ventas y proveedores».
Sin embargo, enfatizó que los repositorios no contenían código fuente relacionado con sus aplicaciones o infraestructura principales.
Dropbox, que ofrece servicios de almacenamiento en la nube, copia de seguridad de datos y firma de documentos, entre otros, tiene más de 17,37 millones de usuarios de pago y 700 millones de usuarios registrados a fecha de hoy. agosto 2022.
La divulgación se produce más de un mes después de que tanto GitHub como CircleCI advirtieran sobre ataques de phishing diseñados para robar credenciales de GitHub a través de notificaciones falsas que pretendían ser de la plataforma CI/CD.
La firma con sede en San Francisco señaló que «múltiples usuarios de Dropbox recibieron correos electrónicos de phishing que se hacían pasar por CircleCI» a principios de octubre, algunos de los cuales se deslizaron a través de sus filtros automatizados de correo no deseado para llegar a las bandejas de entrada de correo electrónico de los empleados.
«Estos correos electrónicos de aspecto legítimo dirigían a los empleados a visitar una página de inicio de sesión falsa de CircleCI, ingresar su nombre de usuario y contraseña de GitHub y luego usar su clave de autenticación de hardware para pasar una contraseña de un solo uso (OTP) al sitio malicioso», explicó Dropbox.
La compañía no reveló cuántos de sus empleados cayeron en el ataque de phishing, pero dijo que tomó medidas inmediatas para rotar todas las credenciales de desarrollador expuestas y que alertó a las autoridades policiales.
También dijo que no encontró evidencia de que se robaron datos de clientes como resultado del incidente, y agregó que está actualizando sus sistemas de autenticación de dos factores para admitir llaves de seguridad de hardware para la resistencia al phishing.
«Los profesionales atentos pueden ser víctimas de un mensaje cuidadosamente elaborado y entregado de la manera correcta en el momento adecuado», concluyó la empresa. «Esta es precisamente la razón por la que el phishing sigue siendo tan efectivo».