0
0
O Dropbox sofreu uma violação de dados, mas os usuários não precisam se preocupar porque os invasores não obtiveram acesso à conta, senha ou informações de pagamento do Dropbox de ninguém. Em vez disso, eles pegaram o código de 130 dos repositórios privados da empresa hospedados no GitHub.
O que foi comprometido?
Os repositórios comprometidos contêm “cópias de bibliotecas de terceiros ligeiramente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados pela equipe de segurança” – mas não código para aplicativos ou infraestrutura principais do Dropbox.
Os atacantes também encontraram:
- Chaves de API usadas por desenvolvedores do Dropbox
- Alguns milhares de nomes e endereços de e-mail pertencentes a funcionários do Dropbox, clientes atuais e anteriores, leads de vendas e fornecedores
“Nossas equipes de segurança tomaram medidas imediatas para coordenar a rotação de todas as credenciais de desenvolvedor expostas e determinar quais dados do cliente, se houver, foram acessados ou roubados. Também analisamos nossos registros e não encontramos evidências de abuso bem-sucedido. Para ter certeza, contratamos especialistas forenses externos para verificar nossas descobertas e relatamos esse evento aos reguladores apropriados e à aplicação da lei”, afirmou a empresa .
Como os invasores conseguiram obter acesso?
Os invasores conseguiram se passar pela CircleCI, uma empresa que desenvolve uma plataforma de integração contínua e entrega contínua (CI/CD) usada pelos desenvolvedores do Dropbox.
Como os usuários do Dropbox usam suas credenciais do GitHub para fazer login no CircleCI, comprometer essas credenciais significa comprometer as contas do GitHub.
“Enquanto nossos sistemas colocaram automaticamente em quarentena alguns desses e-mails, outros foram parar nas caixas de entrada dos Dropboxers”, explicou a empresa.
“Esses e-mails de aparência legítima direcionaram os funcionários a visitar uma página de login falsa do CircleCI, inserir seu nome de usuário e senha do GitHub e, em seguida, usar sua chave de autenticação de hardware para passar uma senha de uso único (OTP) para o site malicioso.”
Uma dessas tentativas foi bem-sucedida e os invasores obtiveram acesso a uma das organizações GitHub do Dropbox (e 130 repositórios de código privado).
O que vem a seguir para o Dropbox após essa violação de dados?
O GitHub foi o primeiro a notar um comportamento suspeito relacionado às contas e repositórios do Dropbox no GitHub em 13 de outubro. Um dia depois, eles notificaram a empresa.
A equipe de segurança do Dropbox não disse se as credenciais foram comprometidas na campanha de phishing da marca CircleCI detectada pelo GitHub em 16 de setembro ou em uma posterior.
Ainda assim, esse incidente os estimulou a acelerar seus esforços para adotar o WebAuthn .
“Mesmo o profissional mais cético e vigilante pode ser vítima de uma mensagem cuidadosamente elaborada, entregue da maneira certa na hora certa. É exatamente por isso que o phishing continua tão eficaz – e porque os controles técnicos continuam sendo a melhor proteção contra esses tipos de ataques”, reconheceu a equipe.
“Antes desse incidente, já estávamos adotando essa forma de autenticação multifator mais resistente a phishing. Em breve, todo o nosso ambiente será protegido pelo WebAuthn com tokens de hardware ou fatores biométricos.”
No início deste ano, Twilio e Cloudflare e muitas outras organizações foram alvode mensagens de phishing representando a empresa de gerenciamento de identidade e acesso Okta, e a Cloudflare saiu ilesa porque seus funcionários usam chaves de segurança físicas para fornecer o segundo fator de autenticação.
FONTE: HELPNET SECURITY