Преступники получили доступ к одной из учетных записей на GitHub, воспользовавшись учетными данными сотрудников, украденными с помощью фишинговой атаки.
Согласно результатам расследования, злоумышленники взломали учетную запись 14 октября. В этот же день GitHub уведомил о подозрительной активности, которая началась за день до отправки предупреждения.
Dropbox официально заявляет:
На сегодняшний день наше расследование показало, что код, к которому обращался злоумышленник, содержал некоторые учетные данные — в первую очередь ключи API — используемые разработчиками Dropbox.
Полученный код и связанные с ним данные также включали несколько тысяч имен и адресов электронной почты, принадлежащих сотрудникам Dropbox, текущим и бывшим клиентам, руководителям продаж и поставщикам (в Dropbox зарегистрировано более 700 миллионов пользователей).
Успешный взлом произошел в результате фишинговой атаки на нескольких сотрудников Dropbox, в которой использовались электронные письма якобы от имени платформы непрерывной интеграции и доставки CircleCI. Письма содержали ссылку на фишинговую целевую страницу, где их просили ввести имя пользователя и пароль GitHub.
На той же фишинговой странице сотрудников просили «использовать свой аппаратный ключ аутентификации для передачи одноразового пароля (OTP)».
Украдено 130 репозиториев с кодом
После кражи учетных данных Dropbox злоумышленники получили доступ к одной из организаций Dropbox на GitHub и украли 130 репозиториев кода.
Dropbox поясняет:
Эти репозитории включали наши собственные копии сторонних библиотек, слегка модифицированные для использования в Dropbox, внутренние прототипы и некоторые инструменты и файлы конфигурации, используемые командой безопасности.
Важно, что репозитории не включали код наших основных приложений и инфраструктуры. Доступ к этим репозиториям еще более ограничен и строго контролируется.
Dropbox добавил, что злоумышленники не могли получить доступ к учетным записям клиентов, паролям или платежной информации, а его основные приложения и инфраструктура не пострадали в результате этого взлома.
В качестве реакции на инцидент безопасности, Dropbox принимает дополнительные меры по защите всей своей среды с помощью WebAuthn и аппаратных токенов или биометрических факторов.
В сентябре некоторые пользователи GitHub подверглись аналогичной атаке, с поддельными письмами CircleCI с просьбой войти в свои учетные записи GitHub, чтобы принять условия использования и обновления политики конфиденциальности.
GitHub тогда сообщал:
Хотя сам GitHub не пострадал, кампания затронула многие организации-жертвы.
Согласно GitHub, утечка контента из частных репозиториев была обнаружена почти сразу после компрометации, при этом злоумышленники использовали VPN и прокси-сервисы, чтобы затруднить отслеживание.
Угрозы безопасности
• Целевая атака на «Доктор Веб»: что нужно знать пользователям
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption
• Банковский троянец Octo2 для Android маскируется под NordVPN и Google Chrome