Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Dropbox ofiarą phishingu. Nie pomogło 2FA… Wyciek z 130 dropboksowych repozytoriów GitHuba
Zespół Bezpieczeństwa Dropbox opublikował 1 listopada na swoim blogu informację nt. wycieku przeszło 130 wewnętrznych repozytoriów z GitHub. Repozytoria zawierały kopie bibliotek własnych, a także innych firm w postaci zmodyfikowanej do użytku wewnętrznego przez klientów. Przestępcy także uzyskali dostęp do wewnętrznych prototypów, narzędzi i plików konfiguracyjnych używanych przez zespół ds. bezpieczeństwa. W wyniku naruszenia uzyskano także dostęp do niektórych kluczy API używanych przez programistów, a także dostęp do “kilku tysięcy nazwisk i adresów e-mail należących do pracowników Dropbox, obecnych i byłych klientów oraz dostawców” – jak czytamy w komunikacie. Zespół podkreślił jednak, że wycieknięte repozytoria nie zawierają kodu źródłowego związanego z podstawowymi aplikacjami lub infrastrukturą Dropbox.
Z danych z sierpnia 2022 r. wynika, że firma ma ponad 17.37 mln aktywnych płatnych subskrybentów narzędzia i ponad 700 mln zarejestrowanych użytkowników ogółem. Ujawnienie wycieku nastąpiło ponad miesiąc po tym jak zarówno GitHub jaki i CircleCI ostrzegały przed atakami phishingowymi mającymi na celu kradzież danych uwierzytelniających do serwisu GH poprzez fałszywe powiadomienia pochodzące z platformy CI/CD.
Rys. 1. Zrzut ekranu z kampanii phishingowej CircleCI, źródło.
Atak nastąpił na początku października, gdzie “wielu Dropbokserów otrzymało wiadomości phishingowe podszywające się pod CircleCI, których część prześlizgnęła się przez automatyczne filtry antyspamowe i trafiła do skrzynek pocztowych pracowników” – jak czytamy dalej.
Te wyglądające na autentyczne e-maile kierowały pracowników do odwiedzenia fałszywej strony logowania CircleCI, która prosiła o podanie danych uwierzytelniających, a następnie użycia hasła OTP (One-Time Password) wygenerowanego z klucza sprzętowego. Firma nie ujawniła ilu pracowników padło ofiarą ataku phishingowego (red. a wystarczy tylko jeden do skutecznego ataku, jak w przypadku Uber) ale poinformowała, że podjęła natychmiastowe działania w celu zabezpieczenia wszystkich ujawnionych danych uwierzytelniania i sprawę zgłosiła organom ścigania. Nie znaleziono również dowodów naruszeń wskazujących na wyciek danych klientów.
Dropbox powziął już środki zaradcze i są w trakcie adaptacji rozwiązania bardziej odpornego na phishing w formie uwierzytelniania MFA (Mutli-Factor Authentication), a wkrótce całe ich środowisko będzie zabezpieczone za pośrednictwem tokenów sprzętowych lub biometrycznych z WebAuthn. Firma ostatecznie podsumowała sprawę zdaniem, że “Nawet czujni profesjonaliści mogą paść ofiarą starannie opracowanej wiadomości we właściwy sposób i we właściwym czasie i właśnie dlatego phishing jest tak skuteczny”.
Źródło:
- https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox
- https://thehackernews.com/2022/11/dropbox-breach-hackers-unauthorizedly.html
- https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408
~tt
mam na dzieje że ci #CzujniProfesjonalisci razem z tymi z Ubera i Revoluta sprawią że ludzie zaczną podnownie się zastanawiać między cloud/on premise
> autentykacji
blagam, piszcie po polsku!
Z rozpędu ;-), poprawione.
I jeszcze „wycieknięte repozytoria”. Zgroza!
kto ceniący bezpieczeństwo używa Dropbox’a? Przecież to nie pierwsza wpadka i na pewno nie ostatnia.
No niestety jest to możliwe. Generowany klucz może być ponownie użyty w bardzo krótkim czasie (np. generowany w Google Authenticator, KeePass czy w innych programach). Gdyby to była autoryzacja sprzętowa (np. Yubikey) to z mojej wiedzy wynika, że nie ma szans, aby powtórzyć „nieautoryzowane” logowanie. A często w serwisach jest tak, że można użyć 2FA, ale w postaci generowanego PINu. Brak użycia sprzętowego tokena.