-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Dropbox ofiarą phishingu. Nie pomogło 2FA… Wyciek z 130 dropboksowych repozytoriów GitHuba

03 listopada 2022, 10:57 | Aktualności | komentarzy 6
TL;DR – Dropbox padł ofiarą ataku phishingowego polegającego na wysłaniu dobrze przygotowanego maila z podrobionym linkiem do strony logowania CircleCI. Pracownik po przekazaniu danych uwierzytelniających podawał także hasło OTP z klucza sprzętowego.

Zespół Bezpieczeństwa Dropbox opublikował 1 listopada na swoim blogu informację nt. wycieku przeszło 130 wewnętrznych repozytoriów z GitHub. Repozytoria zawierały kopie bibliotek własnych, a także innych firm w postaci zmodyfikowanej do użytku wewnętrznego przez klientów. Przestępcy także uzyskali dostęp do wewnętrznych prototypów, narzędzi i plików konfiguracyjnych używanych przez zespół ds. bezpieczeństwa. W wyniku naruszenia uzyskano także dostęp do niektórych kluczy API używanych przez programistów, a także dostęp do “kilku tysięcy nazwisk i adresów e-mail należących do pracowników Dropbox, obecnych i byłych klientów oraz dostawców” – jak czytamy w komunikacie. Zespół podkreślił jednak, że wycieknięte repozytoria nie zawierają kodu źródłowego związanego z podstawowymi aplikacjami lub infrastrukturą Dropbox.

Z danych z sierpnia 2022 r. wynika, że firma ma ponad 17.37 mln aktywnych płatnych subskrybentów narzędzia i ponad 700 mln zarejestrowanych użytkowników ogółem. Ujawnienie wycieku nastąpiło ponad miesiąc po tym jak zarówno GitHub jaki i CircleCI ostrzegały przed atakami phishingowymi mającymi na celu kradzież danych uwierzytelniających do serwisu GH poprzez fałszywe powiadomienia pochodzące z platformy CI/CD. 

Rys. 1. Zrzut ekranu z kampanii phishingowej CircleCI, źródło.

Atak nastąpił na początku października, gdzie “wielu Dropbokserów otrzymało wiadomości phishingowe podszywające się pod CircleCI, których część prześlizgnęła się przez automatyczne filtry antyspamowe i trafiła do skrzynek pocztowych pracowników” – jak czytamy dalej.

Te wyglądające na autentyczne e-maile kierowały pracowników do odwiedzenia fałszywej strony logowania CircleCI, która prosiła o podanie danych uwierzytelniających, a następnie użycia hasła OTP (One-Time Password) wygenerowanego z klucza sprzętowego. Firma nie ujawniła ilu pracowników padło ofiarą ataku phishingowego (red. a wystarczy tylko jeden do skutecznego ataku, jak w przypadku Uber) ale poinformowała, że podjęła natychmiastowe działania w celu zabezpieczenia wszystkich ujawnionych danych uwierzytelniania i sprawę zgłosiła organom ścigania. Nie znaleziono również dowodów naruszeń wskazujących na wyciek danych klientów.

Dropbox powziął już środki zaradcze i są w trakcie adaptacji rozwiązania bardziej odpornego na phishing w formie uwierzytelniania MFA (Mutli-Factor Authentication), a wkrótce całe ich środowisko będzie zabezpieczone za pośrednictwem tokenów sprzętowych lub biometrycznych z WebAuthn. Firma ostatecznie podsumowała sprawę zdaniem, że “Nawet czujni profesjonaliści mogą paść ofiarą starannie opracowanej wiadomości we właściwy sposób i we właściwym czasie i właśnie dlatego phishing jest tak skuteczny”.

Źródło:

  1. https://dropbox.tech/security/a-recent-phishing-campaign-targeting-dropbox
  2. https://thehackernews.com/2022/11/dropbox-breach-hackers-unauthorizedly.html
  3. https://discuss.circleci.com/t/circleci-security-alert-warning-phishing-attempt-for-login-credentials/45408 

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. nusch

    mam na dzieje że ci #CzujniProfesjonalisci razem z tymi z Ubera i Revoluta sprawią że ludzie zaczną podnownie się zastanawiać między cloud/on premise

    Odpowiedz
  2. koszmar

    > autentykacji
    blagam, piszcie po polsku!

    Odpowiedz
    • Tomasz Turba

      Z rozpędu ;-), poprawione.

      Odpowiedz
    • Fabian

      I jeszcze „wycieknięte repozytoria”. Zgroza!

      Odpowiedz
  3. kto ceniący bezpieczeństwo używa Dropbox’a? Przecież to nie pierwsza wpadka i na pewno nie ostatnia.

    Odpowiedz
  4. Adam

    No niestety jest to możliwe. Generowany klucz może być ponownie użyty w bardzo krótkim czasie (np. generowany w Google Authenticator, KeePass czy w innych programach). Gdyby to była autoryzacja sprzętowa (np. Yubikey) to z mojej wiedzy wynika, że nie ma szans, aby powtórzyć „nieautoryzowane” logowanie. A często w serwisach jest tak, że można użyć 2FA, ale w postaci generowanego PINu. Brak użycia sprzętowego tokena.

    Odpowiedz

Odpowiedz na lukasz