Dropbox, bir kimlik avı saldırısında çalınan çalışan kimlik bilgilerini kullanarak GitHub hesaplarından birine erişim kazandıktan sonra 130 kod depolarını çaldıktan sonra bir güvenlik ihlali açıkladı.
Şirket, saldırganların 14 Ekim'de Github'ın uyarının gönderilmesinden bir gün önce başlayan şüpheli etkinlik hakkında bilgi verdiğinde hesabı ihlal ettiğini keşfetti.
Dropbox Salı günü yaptığı açıklamada, "Bugüne kadar, araştırmamız, bu tehdit oyuncusu tarafından erişilen kodun Dropbox geliştiricileri tarafından kullanılan bazı kimlik bilgileri (esas olarak API anahtarları) içerdiğini buldu."
"Kod ve çevresindeki veriler ayrıca Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış potansiyel müşterilerine ve satıcılara ait birkaç bin isim ve e -posta adresi de içeriyordu (bağlam için Dropbox 700 milyondan fazla kayıtlı kullanıcıya sahiptir)."
Başarılı ihlal, Circleci sürekli entegrasyon ve teslimat platformunu taklit eden e -postaları kullanan ve bunları GitHub kullanıcı adına ve şifrelerini girmeleri istendiği bir kimlik avı açılış sayfasına yönlendiren e -postaları kullanan bir kimlik avı saldırısından kaynaklandı.
Aynı kimlik avı sayfasında, çalışanlardan "bir kerelik şifre (OTP) geçmek için donanım kimlik doğrulama anahtarlarını kullanmaları" istendi.
Dropbox'ların kimlik bilgilerini çaldıktan sonra, saldırganlar Dropbox'ın GitHub organizasyonlarından birine erişti ve kod depolarının 130'ını çaldı.
Şirket, "Bu depolar, Dropbox, dahili prototipler ve güvenlik ekibi tarafından kullanılan bazı araçlar ve yapılandırma dosyaları tarafından kullanılmak üzere hafifçe değiştirilmiş üçüncü taraf kütüphanelerin kendi kopyalarını içeriyordu."
"Daha da önemlisi, temel uygulamalarımız veya altyapımız için kod içermediler. Bu depolara erişim daha sınırlı ve sıkı bir şekilde kontrol ediliyor."
Dropbox, saldırganların müşterilerin hesaplarına, şifrelerine veya ödeme bilgilerine asla erişemediğini ve temel uygulamaları ve altyapısı bu ihlal sonucunda etkilenmediğini de sözlerine ekledi.
Olaylara yanıt olarak Dropbox, WebAuthn ve donanım jetonlarını veya biyometrik faktörleri kullanarak tüm ortamını güvence altına almak için çalışıyor.
Eylül ayında, diğer GitHub kullanıcıları da Circleci platformunu taklit eden benzer bir saldırı hedeflediler ve hizmeti kullanmaya devam etmek için kullanıcı terimlerini ve gizlilik politikası güncellemelerini kabul etmek için GitHub hesaplarında oturum açmalarını istedi.
Github o sırada bir danışmanlıkta, "Github'ın kendisi etkilenmese de, kampanya birçok kurban örgütünü etkiledi." Dedi.
Github, uzlaşmadan hemen sonra özel depolardan içerik açığa çıkmasını tespit ettiğini ve izlemeyi zorlaştırmak için VPN veya proxy hizmetlerini kullanan tehdit aktörleri ile tespit ettiğini söyledi.
Tucson Şehri, 123.000'den fazla kişiyi etkileyen veri ihlalini açıklar
Fast Company, yönetici yönetim kurulu üyesi bilgilerinin saldırıda çalınmadığını söylüyor
American Airlines, kimlik avı hedeflerinden ihlal edildiğini öğrendi
Bilgisayar korsanları Github hesaplarını sahte Circleci bildirimlerini kullanarak çalıyor
LastPass, bilgisayar korsanlarının dört gün boyunca dahili erişimi olduğunu söylüyor
Kaynak: Bleeping Computer