.
O Dropbox disse que foi phishing com sucesso, resultando em alguém copiando 130 de seus repositórios de código GitHub privados e roubando algumas de suas credenciais secretas de API.
O armário de armazenamento em nuvem na terça-feira detalhado a invasão e afirmou que “nenhum conteúdo, senhas ou informações de pagamento foram acessados, e o problema foi resolvido rapidamente”.
“Acreditamos que o risco para os clientes é mínimo”, acrescentou o biz.
A confusão de segurança veio à tona em 13 de outubro, quando o GitHub da Microsoft detectou um comportamento suspeito na conta corporativa do Dropbox. O GitHub avisou o Dropbox no dia seguinte e a equipe de armazenamento em nuvem investigou. O Dropbox determinou que havia sido vítima de um phisher que se passara pela plataforma de integração e entrega de código CircleCI.
O Dropbox é um usuário do CircleCI “para implantação interna selecionada”. Os funcionários do Dropbox usam suas contas do GitHub para acessar os repositórios de código privado do Dropbox, e seus detalhes de login do GitHub também os levam ao CircleCI. Você sabe onde isso vai dar: obtenha os detalhes de login do GitHub de um engenheiro do Dropbox fingindo ser CircleCI, use essas informações para entrar na organização do Dropbox GitHub e, em seguida, vasculhe os repositórios privados.
Curiosamente, apenas três semanas antes do ataque, o GitHub avisou de campanhas de phishing que envolviam falsificação de identidade do CircleCI. O Dropbox parece não ter recebido o memorando, porque no início de outubro sua equipe foi enviada – e um ou mais bods caíram – e-mails disfarçados de mensagens legítimas do CircleCI.
“Esses e-mails de aparência legítima direcionavam os funcionários a visitar uma página de login falsa do CircleCI, digitar seu nome de usuário e senha do GitHub e, em seguida, usar sua chave de autenticação de hardware para passar uma senha de uso único (OTP) para o site malicioso”, afirma a explicação do Dropbox. Esse site coletaria os detalhes de login inseridos para que os criminosos pudessem usar as informações e fazer login na conta GitHub de uma vítima e entrar nos repositórios de trabalho.
Essa tática “eventualmente teve sucesso, dando ao agente da ameaça acesso a uma de nossas organizações do GitHub, onde eles copiaram 130 de nossos repositórios de código”.
O Dropbox não parece excessivamente preocupado com o incidente porque os repositórios “incluíram nossas próprias cópias de bibliotecas de terceiros ligeiramente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados pela equipe de segurança”.
Nenhum código para aplicativos principais ou infraestrutura foi acessado, aparentemente.
O Dropbox também disse que o acesso do intruso ao repositório do GitHub foi revogado em 14 de outubro e que, desde então, o negócio de armazenamento em nuvem rodou todas as credenciais da API do desenvolvedor às quais o intruso tinha acesso. A empresa também contratou investigadores externos para revisar suas descobertas e todos concluíram que nenhum abuso do código copiado foi detectado.
O artigo da empresa disse que já estava trabalhando para combater esse tipo de incidente atualizando seus sistemas de autenticação de dois fatores para autenticação multifator WebAuthn e em breve usará tokens de hardware ou fatores biométricos em todo o ambiente. Esse esforço foi acelerado após o ataque.
O Dropbox se desculpou pelo barulho e prometeu fazer melhor – mas assinou afirmando que a equipe de segurança da empresa acredita que é inevitável que alguns ataques de phishing sejam bem-sucedidos, mesmo com os melhores controles técnicos em vigor. ®
.
