La plataforma de almacenamiento en la nube en línea Dropbox ha revelado que sufrió una violación de datos que vio a los piratas informáticos acceder al código interno.
A fines de septiembre, informamos que empleados falsos de CircleCI habían robado cuentas de GitHub, y ahora parece que Dropbox también fue víctima del mismo ataque.
en una entrada de blog (se abre en una pestaña nueva), Dropbox dijo que GitHub llamó su atención sobre actividades sospechosas en su cuenta, a mediados de octubre. Después de una investigación más exhaustiva, Dropbox descubrió que un actor de amenazas que pretendía ser de CircleCI era el que accedía a una de sus cuentas de GitHub.
Claves API y direcciones de correo electrónico
Si bien cualquier brecha en el perímetro es un desastre potencial, el anuncio de Dropbox da la impresión de que no fue más que un incidente menor.
“En ningún momento este actor de amenazas tuvo acceso al contenido de la cuenta de Dropbox de nadie, su contraseña o su información de pago”, se lee en el blog.
Quienquiera que estuviera detrás del ataque logró acceder a un código de empresa que contenía claves API utilizadas por los desarrolladores de Dropbox. También accedieron a datos de identidad (se abre en una pestaña nueva)incluidos «unos pocos miles de nombres y direcciones de correo electrónico pertenecientes a empleados de Dropbox, clientes actuales y anteriores, clientes potenciales de ventas y proveedores», de una base de datos de más de 700 millones de usuarios registrados.
“Si bien creemos que cualquier riesgo para ellos es mínimo, hemos notificado a los afectados”, concluyó la compañía.
Para evitar que vuelvan a ocurrir incidentes similares, Dropbox dice que acelerará la adopción de WebAuthn, un estándar abierto que permite a los servidores web registrar y autenticar a los usuarios mediante criptografía asimétrica, en lugar de una contraseña. Para Dropbox, WebAuthn es «actualmente el estándar de oro» en la autenticación de múltiples factores.
“Pronto, todo nuestro entorno estará protegido por WebAuthn con tokens de hardware o factores biométricos”, agregó la compañía.
El ataque de suplantación de identidad de CircleCI contra los usuarios de GitHub se detectó por primera vez a finales de septiembre de este año.
En ese momento, se informó que si los actores de amenazas logran ingresar a uno, lo siguiente que harán es crear tokens de acceso personal (PAT), autorizar aplicaciones OAuth e incluso agregar claves SSH a la cuenta, para asegurarse de que conservar el acceso incluso después de que los propietarios cambien la contraseña. Después de eso, tomarán datos de repositorios privados. Desde entonces, la compañía ha bloqueado varias cuentas, que se confirmó que estaban comprometidas. A todos los usuarios potencialmente afectados se les han restablecido las contraseñas de sus cuentas.