Dropbox, der Cloud-Speicheranbieter, hat angekündigt (öffnet in neuem Tab) Es war das Ziel eines Phishing-Angriffs, der erfolgreich auf seine privaten GitHub-Repositorys zugegriffen hat. GitHub konnte Dropbox schnell über den Angriff informieren, Kundendaten oder Passwörter waren nicht betroffen.
Die Datenschutzverletzung ereignete sich am 13. Oktober, wobei Dropbox am nächsten Tag bewusst wurde, dass etwas nicht stimmte. Die Angreifer gaben sich als die Integrations- und Bereitstellungsplattform CircleCI aus, bei der man sich mit GitHub-Anmeldedaten anmelden kann, und bombardierten Dropbox-Mitarbeiter mit realistisch aussehenden Phishing-E-Mails. Viele von ihnen wurden von den internen Systemen von Dropbox blockiert, aber einige kamen durch – genug, so scheint es, damit mindestens ein Mitarbeiter eine gefälschte CircleCI-Anmeldeseite besucht, seine GitHub-Anmeldeinformationen eingibt und einen Hardware-Authentifizierungsschlüssel verwendet, um einen einmaligen Vorgang zu bestehen Passwort für die bösartige Website.
Dadurch gelangte der Angreifer in den privaten Github-Bereich von Dropbox, von wo aus er 130 Code-Repositories kopierte. Zu den Daten, auf die zugegriffen wird, gehören laut Aussage von Dropbox: „…einige Zugangsdaten – in erster Linie API-Schlüssel –, die von Dropbox-Entwicklern verwendet werden. [It] enthielt auch einige tausend Namen und E-Mail-Adressen von Dropbox-Mitarbeitern, aktuellen und früheren Kunden, Vertriebsleitern und Anbietern.“ Dann später: „Diese Repositorys enthielten unsere eigenen Kopien von Bibliotheken von Drittanbietern, die für die Verwendung durch Dropbox leicht modifiziert wurden, interne Prototypen und einige Tools und Konfigurationsdateien, die vom Sicherheitsteam verwendet wurden. Wichtig ist, dass sie keinen Code für unsere Kern-Apps oder -Infrastruktur enthielten. Der Zugriff auf diese Repositories ist noch eingeschränkter und strenger kontrolliert.“
Zurück im September, GitHub warnte seine Benutzer (öffnet in neuem Tab) in einem Blog-Beitrag über Angriffe auf CircleCI und bemerkte: „Wenn der Angreifer erfolgreich GitHub-Benutzerkonto-Anmeldeinformationen stiehlt, kann er schnell persönliche GitHub-Zugriffstokens (PATs) erstellen, OAuth-Anwendungen autorisieren oder SSH-Schlüssel zum Konto hinzufügen, um dies zu tun Zugriff erhalten, falls der Benutzer sein Passwort ändert.“
Dropbox konnte den Zugriff der Angreifer noch am selben Tag sperren, an dem es von dem Eindringen erfuhr, und glaubt, dass das Risiko für die Kunden minimal ist. Das Unternehmen aktualisiert auch seine Multi-Faktor-Authentifizierungsmethode auf WebAuthn – eine Änderung, die bereits im Gange war, als der Angriff stattfand.