O Dropbox anunciou que foi vítima de uma campanha de phishing que permitiu o acesso às suas contas no GitHub. O serviço de hospedagem de arquivos admitiu na terça-feira, 1º, que a violação de segurança permitiu que o operador de ameaças não identificado obtivesse acesso não autorizado a uma de suas contas no GitHub, comprometendo 130 de seus repositórios de código-fonte.
“Esses repositórios incluíam nossas próprias cópias de bibliotecas de terceiros ligeiramente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados pela equipe de segurança”, disse o Dropbox em um comunicado.
Segundo a empresa, a violação foi descoberta em 14 de outubro, depois que o GitHub relatou à empresa atividades suspeitas que começaram um dia antes do envio do alerta.
Após uma investigação mais aprofundada da violação de segurança, foi divulgado que o código-fonte acessado pelos agentes da ameaça continha as credenciais da equipe de desenvolvimento, principalmente as chaves de API usadas pela equipe.
“O código e os dados também incluíam alguns milhares de nomes e endereços de e-mail pertencentes a funcionários do Dropbox, clientes atuais e antigos, leads de vendas e fornecedores [para contextualizar, o Dropbox tem mais de 700 milhões de usuários registrados]”, acrescentou a empresa na nota.
O ataque cibernético foi introduzido mais de um mês depois que o GitHub e o CircleCI relataram casos de ataques de phishing. A campanha de phishing foi supostamente projetada para acessar credenciais do GitHub por meio de notificações fraudulentas supostamente da plataforma CI/CD. Esses e-mails fraudulentos notificaram os usuários online de que sua sessão do CircleCI expirou, fazendo com que as vítimas fizessem login por meio de suas credenciais do GitHub.
Veja isso
Hackers russos miram DropBox e Google Drive para lançar malware
Hacker russo é condenado por invadir Dropbox e LinkedIn
“Esses e-mails de aparência legítima direcionavam os funcionários a visitar uma página de login falsa do CircleCI, digitar seu nome de usuário e senha do GitHub e, em seguida, usar sua chave de autenticação de hardware para passar uma senha de uso único (OTP) para o site malicioso”, explicou o Dropbox.
Além disso, o GitHub, em um comunicado, afirmou que “embora o próprio repositório não tenha sido afetado, a campanha impactou muitas organizações”.
Em relação aos recentes ataques de phishing, o Dropbox afirmou que os invasores não tiveram acesso às contas, senhas ou informações de pagamento dos clientes, e que sua infraestrutura principal de aplicativos não foi afetada pela violação. “É importante ressaltar que eles não incluíam código para nossos principais aplicativos ou infraestrutura. O acesso a esses repositórios é ainda mais limitado e estritamente controlado”, observou a empresa.
Além disso, o Dropbox disse que está trabalhando para proteger seu ambiente após a violação de segurança, usando WebAuthn e tokens de hardware ou fatores biométricos.