Dropbox, el proveedor de almacenamiento en la nube, ha anunciado (se abre en una pestaña nueva) ha sido el objetivo de un ataque de phishing que accedió con éxito a sus repositorios privados de GitHub. GitHub pudo notificar rápidamente a Dropbox sobre el ataque y no se vieron afectados los datos ni las contraseñas de los clientes.
La violación de datos tuvo lugar el 13 de octubre, y Dropbox se dio cuenta de que las cosas estaban mal al día siguiente. Los atacantes se hicieron pasar por la plataforma de integración y entrega CircleCI a la que se puede iniciar sesión con las credenciales de GitHub, bombardeando al personal de Dropbox con correos electrónicos de phishing de aspecto realista. Muchos de ellos fueron bloqueados por los sistemas internos de Dropbox, pero algunos pasaron, lo suficiente, al parecer, para que al menos un empleado visite una página de inicio de sesión falsa de CircleCI, ingrese sus credenciales de GitHub y use una clave de autenticación de hardware para pasar una única vez. contraseña del sitio malicioso.
Esto permitió al atacante ingresar al área privada de Github de Dropbox, desde donde copió 130 repositorios de código. Los datos a los que se accede incluyen, según la declaración de Dropbox: “…algunas credenciales, principalmente, claves API, utilizadas por los desarrolladores de Dropbox. [It] también incluyó algunos miles de nombres y direcciones de correo electrónico pertenecientes a los empleados de Dropbox, clientes actuales y anteriores, clientes potenciales de ventas y proveedores”. Luego más tarde: “Estos repositorios incluían nuestras propias copias de bibliotecas de terceros ligeramente modificadas para su uso por Dropbox, prototipos internos y algunas herramientas y archivos de configuración utilizados por el equipo de seguridad. Es importante destacar que no incluyeron código para nuestras aplicaciones o infraestructura principales. El acceso a esos repositorios es aún más limitado y está estrictamente controlado”.
En septiembre, GitHub advirtió a sus usuarios (se abre en una pestaña nueva) en una publicación de blog sobre ataques dirigidos a CircleCI, señalando que «si el actor de amenazas roba con éxito las credenciales de la cuenta de usuario de GitHub, puede crear rápidamente tokens de acceso personal (PAT) de GitHub, autorizar aplicaciones OAuth o agregar claves SSH a la cuenta para preservar el acceso en caso de que el usuario cambie su contraseña.”
Dropbox pudo cortar el acceso de los atacantes el mismo día que se enteró de la intrusión y cree que el riesgo para los clientes es mínimo. La empresa también está actualizando su método de autenticación multifactor a WebAuthn, un cambio que ya estaba en marcha cuando ocurrió el ataque.