Η Dropbox επιβεβαίωσε ότι υπέστη παραβίαση δεδομένων μετά από μια επιτυχημένη επίθεση phishing που έδωσε σε έναν χάκερ πρόσβαση σε ορισμένα από τα αποθετήρια GitHub. Τα δεδομένα στα οποία αποκτήθηκε πρόσβαση περιλάμβαναν μερικές χιλιάδες ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκαν σε υπαλλήλους της Dropbox, πελάτες, πελάτες πωλήσεων και πωλητές. Η εταιρεία ισχυρίστηκε ότι ο κώδικας στον οποίο δόθηκε πρόσβαση περιείχε επίσης κλειδιά API, τα οποία χρησιμοποιούνται από τους προγραμματιστές του Dropbox.
Η Dropbox δήλωσε ότι έγινε στόχος πολλαπλών μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που παρίσταναν την CircleCI, η οποία είναι μια πλατφόρμα ενσωμάτωσης κώδικα που χρησιμοποιείται από το Dropbox. “Αυτά τα νομιμοφανή μηνύματα ηλεκτρονικού ταχυδρομείου κατεύθυναν τους υπαλλήλους να επισκεφθούν μια ψεύτικη σελίδα σύνδεσης CircleCI, να εισάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στο GitHub και στη συνέχεια να χρησιμοποιήσουν το κλειδί ελέγχου ταυτότητας υλικού για να περάσουν έναν κωδικό πρόσβασης μιας χρήσης στον κακόβουλο ιστότοπο”, ανέφερε η Dropbox σε μια ανάρτηση στο blog.
Ο πάροχος υπηρεσιών cloud δήλωσε ότι ανέλαβε άμεσα δράση όταν ενημερώθηκε για την παραβίαση δεδομένων και απενεργοποίησε την πρόσβαση του δράστη της απειλής στο GitHub. Το Dropbox δήλωσε ότι εξέτασε επίσης τα αρχεία καταγραφής του για να διασφαλίσει ότι δεν υπήρχαν ενδείξεις “επιτυχημένης κατάχρησης”.
“Για να είμαστε σίγουροι, προσλάβαμε εξωτερικούς εμπειρογνώμονες εγκληματολογίας για να επαληθεύσουμε τα ευρήματά μας και αναφέραμε αυτό το συμβάν στις αρμόδιες ρυθμιστικές αρχές και τις διωκτικές αρχές”, δήλωσε το Dropbox. Η εταιρεία δήλωσε ότι ο χάκερ δεν απέκτησε πρόσβαση σε κανενός το λογαριασμό Dropbox, τον κωδικό πρόσβασης ή τις πληροφορίες πληρωμής. Η Dropbox δήλωσε επίσης ότι τα αποθετήρια στα οποία αποκτήθηκε πρόσβαση δεν περιείχαν κώδικα για τις βασικές εφαρμογές ή την υποδομή της.
Η Dropbox δήλωσε ότι ενημέρωσε τους πελάτες, τους συνεργάτες και τους υπαλλήλους που είχαν προσωπικές πληροφορίες εντός των αντιγραμμένων αποθετηρίων GitHub.
Για να αποτρέψει αυτού του είδους την παραβίαση στο μέλλον, η εταιρεία δήλωσε ότι επιταχύνει τη χρήση του WebAuthn, το οποίο η Dropbox αποκάλεσε το σημερινό “χρυσό πρότυπο” στον έλεγχο ταυτότητας πολλαπλών παραγόντων.
“Γνωρίζουμε ότι είναι αδύνατο για τους ανθρώπους να εντοπίσουν κάθε δόλωμα phishing”, δήλωσε η Dropbox. “Ακόμη και ο πιο σκεπτικιστής, άγρυπνος επαγγελματίας μπορεί να πέσει θύμα ενός προσεκτικά σχεδιασμένου μηνύματος που παραδίδεται με τον σωστό τρόπο τη σωστή στιγμή. “Αυτός ακριβώς είναι ο λόγος για τον οποίο το phishing παραμένει τόσο αποτελεσματικό – και για τον οποίο οι τεχνικοί έλεγχοι παραμένουν η καλύτερη προστασία από αυτού του είδους τις επιθέσεις”.
Οι επιθέσεις ηλεκτρονικού “ψαρέματος” χρησιμοποιήθηκαν σε αρκετές παραβιάσεις δεδομένων υψηλού προφίλ τους τελευταίους μήνες. Για παράδειγμα, η παραβίαση δεδομένων της Twilio συνέβη αφού οι εργαζόμενοι εξαπατήθηκαν και μοιράστηκαν τα στοιχεία σύνδεσής τους. Οι χάκερ πίσω από την παραβίαση της Twilio λέγεται ότι διεξήγαγαν μια “πρωτοφανή” εκστρατεία phishing, θέτοντας σε κίνδυνο περισσότερους από 130 οργανισμούς, σύμφωνα με έκθεση της εταιρείας κυβερνοασφάλειας Group-IB τον Αύγουστο.