Sonntag, November 27, 2022

Dropbox gibt zu, dass 130 seiner privaten GitHub-Repositories nach einem Phishing-Angriff kopiert wurden

Dropbox sagte, dass es erfolgreich gephishing war, was dazu führte, dass jemand 130 seiner privaten GitHub-Code-Repositories kopierte und einige seiner geheimen API-Anmeldeinformationen stahl.

Das Cloud-Speicherschließfach beschrieb den Einbruch am Dienstag und sagte, dass „kein Zugriff auf Inhalte, Passwörter oder Zahlungsinformationen von irgendjemandem erfolgte und das Problem schnell gelöst wurde“.

„Wir glauben, dass das Risiko für die Kunden minimal ist“, fügte das Unternehmen hinzu.

Das Sicherheitsproblem wurde am 13. Oktober bekannt, als GitHub von Microsoft verdächtiges Verhalten auf dem Unternehmenskonto von Dropbox entdeckte. GitHub benachrichtigte Dropbox am nächsten Tag und die Cloud-Speichergruppe untersuchte. Dropbox stellte fest, dass es einem Phisher zum Opfer gefallen war, der sich als Codebereitstellungs- und Integrationsplattform CircleCI ausgab.

Dropbox ist ein CircleCI-Benutzer „für ausgewählte interne Verteilung“. Dropbox-Mitarbeiter verwenden ihre GitHub-Konten, um auf die privaten Code-Repositories von Dropbox zuzugreifen, und ihre GitHub-Anmeldedaten bringen sie auch in CircleCI. Sie wissen, wohin das führt: Holen Sie sich die GitHub-Anmeldedaten eines Dropbox-Ingenieurs, der sich als CircleCI ausgibt, verwenden Sie diese Informationen, um der Dropbox-GitHub-Organisation beizutreten, und durchsuchen Sie dann private Repositories.

Interessanterweise warnte GitHub nur drei Wochen vor dem Angriff vor Phishing-Kampagnen mit CircleCI-Imitation. Es scheint, dass Dropbox das Memo nicht erhalten hat, denn Anfang Oktober wurden seinen Mitarbeitern E-Mails geschickt – und eine oder mehrere Leichen fielen darauf herein –, die sich als legitime Nachrichten von CircleCI tarnten.

„Diese legitim aussehenden E-Mails wiesen Mitarbeiter an, eine gefälschte CircleCI-Anmeldeseite zu besuchen, ihren GitHub-Benutzernamen und ihr Passwort einzugeben und dann ihren Hardware-Authentifizierungsschlüssel zu verwenden, um ein One Time Password (OTP) an die bösartige Website weiterzugeben“, heißt es in der Erklärung von Dropbox. Diese Seite würde die eingegebenen Anmeldedaten sammeln, damit Angreifer die Informationen verwenden und auf das GitHub-Konto eines Opfers zugreifen und auf funktionierende Repositories zugreifen könnten.

Diese Taktik „hat sich schließlich ausgezahlt und dem Angreifer Zugang zu einer unserer GitHub-Organisationen verschafft, wo er 130 unserer Code-Repositories kopiert hat.“

Dropbox scheint nicht übermäßig besorgt über den Vorfall zu sein, da die Repositorys „unsere Kopien von Bibliotheken von Drittanbietern, die für die Verwendung von Dropbox leicht modifiziert wurden, interne Prototypen und einige vom Sicherheitsteam verwendete Tools und Konfigurationsdateien enthielten“.

Anscheinend wurde auf keinen Code für die Apps oder die Kerninfrastruktur zugegriffen.

Dropbox sagte auch, dass der Zugriff des Eindringlings auf das GitHub-Repository am 14. Oktober widerrufen wurde und dass das Cloud-Speichergeschäft seitdem alle Entwickler-API-Anmeldeinformationen rotiert hat, auf die der Eindringling Zugriff hatte. Das Unternehmen stellte auch externe Ermittler ein, um seine Ergebnisse zu untersuchen, und alle kamen zu dem Schluss, dass kein Missbrauch des kopierten Codes festgestellt wurde.

In dem Artikel des Unternehmens heißt es, dass es bereits daran arbeite, diese Art von Vorfällen zu bekämpfen, indem es seine Zwei-Faktor-Authentifizierungssysteme auf WebAuthn-Multi-Faktor-Authentifizierung aufrüstete und bald Hardware-Token oder biometrische Faktoren in seiner gesamten Umgebung verwenden werde. Diese Bemühungen wurden im Gefolge des Angriffs beschleunigt.

Dropbox entschuldigte sich für den Aufruhr und versprach, es besser zu machen, unterschrieb jedoch, dass das Sicherheitsteam des Unternehmens glaubt, dass einige Phishing-Angriffe selbst mit den besten technischen Kontrollen unvermeidlich sein werden. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles