130 репозиториев
Dropboxвынужден был признать факт взлома своих репозиториев в GitHub, произошедший в середине октября 2022 г. Хакеры перехватили контроль над 130 репозиториями после того, как смогли получить реквизиты доступа к GitHub с помощью фишинговой атаки на одного из сотрудников Dropbox.
В сообщении Dropbox указывается, что злоумышленникам достались ключи API, использовавшиеся одним из разработчиков Dropbox.
«Код и сопутствующие данные также включали несколько тысяч имен и почтовых адресов, принадлежащих работникам Dropbox, нынешним и бывшим клиентам, руководителям команд продаж и вендорам (просто для контекста, у Dropbox 700 млн зарегистрированных пользователей», — говорится в пояснениях компании.
Фишинговая атака была направлена сразу на нескольких работников Dropbox: злоумышленники разослали письма от лица интеграционной платформы CircleCI, ссылки из которых вели на фишинговую лендинговую страницу. Там жертвам предлагалось ввести их реквизиты доступа к GitHub, а также «воспользоваться своим аппаратным ключом авторизации для ввода одноразового пароля».
Кто-то из работников компании попался в эту ловушку. Результатом стала кража 130 репозиториев кода, принадлежащих Dropbox. Украденные исходники включали модифицированные копии сторонних библиотек, внутренние прототипы, некоторые инструменты и файлы настроек, которыми пользовалась служба безопасности Dropbox.
Ничего критичного
В компании подчеркнули, что злоумышленники не смогли получить контроль над исходным кодом к ключевым приложениям или инфраструктуре самого Dropbox, поскольку доступ к ним ограничен в куда большей степени. Доступа к личным аккаунтам, паролям и платежным данным пользователей Dropbox хакеры, по утверждению компании, также получить не смогли.
В компании заявили, что сейчас ведется переработка принципов обеспечения безопасности всей экосистемы Dropbox. Для этого планируется использовать стандарт сетевой безопасности WebAuthn и аппаратные токены или биометрические средства. Средства защиты на базе WebAuthn предлагаются и пользователям.
«Фишинг бывает очень трудно распознать даже профессионалам, и нынешняя ситуация тому лишнее подтверждение, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — По-видимому, к атаке злоумышленники хорошо подготовились и явно действовали наверняка. Есть много средств снизить угрозу фишинговой атаки, но наиболее эффективным остается человеческое внимание».
Пользователи GitHub в сентябре 2022 г. уже подвергались сходным атакам: им также рассылались сообщения от CircleCI с просьбой зайти в свои аккаунты и подтвердить согласие на условия использование сервиса и политику защиты личных данных. Сама инфраструктура GitHub не была затронута, но пострадали некоторые клиенты, из чьих репозиториев данные оказались выведены.
Поделиться