Преступники получили доступ к одной из учетных записей на GitHub, воспользовавшись учетными данными сотрудников, украденными с помощью фишинговой атаки.
Согласно результатам расследования, злоумышленники взломали учетную запись 14 октября. В этот же день GitHub уведомил о подозрительной активности, которая началась за день до отправки предупреждения.
Dropbox официально заявляет:
На сегодняшний день наше расследование показало, что код, к которому обращался злоумышленник, содержал некоторые учетные данные — в первую очередь ключи API — используемые разработчиками Dropbox.
Полученный код и связанные с ним данные также включали несколько тысяч имен и адресов электронной почты, принадлежащих сотрудникам Dropbox, текущим и бывшим клиентам, руководителям продаж и поставщикам (в Dropbox зарегистрировано более 700 миллионов пользователей).
Успешный взлом произошел в результате фишинговой атаки на нескольких сотрудников Dropbox, в которой использовались электронные письма якобы от имени платформы непрерывной интеграции и доставки CircleCI. Письма содержали ссылку на фишинговую целевую страницу, где их просили ввести имя пользователя и пароль GitHub.
На той же фишинговой странице сотрудников просили «использовать свой аппаратный ключ аутентификации для передачи одноразового пароля (OTP)».
Украдено 130 репозиториев с кодом
После кражи учетных данных Dropbox злоумышленники получили доступ к одной из организаций Dropbox на GitHub и украли 130 репозиториев кода.
Dropbox поясняет:
Эти репозитории включали наши собственные копии сторонних библиотек, слегка модифицированные для использования в Dropbox, внутренние прототипы и некоторые инструменты и файлы конфигурации, используемые командой безопасности.
Важно, что репозитории не включали код наших основных приложений и инфраструктуры. Доступ к этим репозиториям еще более ограничен и строго контролируется.
Dropbox добавил, что злоумышленники не могли получить доступ к учетным записям клиентов, паролям или платежной информации, а его основные приложения и инфраструктура не пострадали в результате этого взлома.
В качестве реакции на инцидент безопасности, Dropbox принимает дополнительные меры по защите всей своей среды с помощью WebAuthn и аппаратных токенов или биометрических факторов.
В сентябре некоторые пользователи GitHub подверглись аналогичной атаке, с поддельными письмами CircleCI с просьбой войти в свои учетные записи GitHub, чтобы принять условия использования и обновления политики конфиденциальности.
GitHub тогда сообщал:
Хотя сам GitHub не пострадал, кампания затронула многие организации-жертвы.
Согласно GitHub, утечка контента из частных репозиториев была обнаружена почти сразу после компрометации, при этом злоумышленники использовали VPN и прокси-сервисы, чтобы затруднить отслеживание.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России