Dropbox hat öffentlich bekannt gegeben, wie eine Phishing-Kampagne eines seiner GitHub-Konten gekapert und Code und Daten kompromittiert hat, indem sie sich als die Code-Integrations- und Bereitstellungsplattform CircleCI ausgab.
Auf einige Mitarbeiter, Kunden, Vertriebsleiter und Lieferanten wurde zugegriffen, einschließlich der von Dropbox-Entwicklern verwendeten API-Schlüssel.
CircleCI war zuvor in einer ähnlichen Phishing-Kampagne von Bedrohungsakteuren imitiert worden.
Dropbox sagte, das Problem sei schnell gelöst worden. Auf Inhalte, Passwörter oder Zahlungsinformationen wurde nicht zugegriffen. Da wir noch stärker eingeschränkten Zugriff haben, haben wir den Zugriff auf unsere Kernanwendungen oder Infrastruktur nicht verloren.
„Wir glauben nicht, dass Kunden gefährdet sind.“ Dieser Bedrohungsakteur hat auf kein Dropbox-Konto, Passwort oder Zahlungsinformationen zugegriffen.“
In einer Erklärung sagte das Unternehmen: „Wir fühlen uns dem Schutz der Privatsphäre unserer Kunden, Partner und Mitarbeiter verpflichtet, und obwohl wir der Meinung sind, dass das Risiko für sie minimal ist, haben wir sie benachrichtigt.“
Der Verstoß wurde Mitte Oktober entdeckt, als Dropboxer E-Mails erhielten, die offenbar von CircleCI stammten, das Dropbox für „ausgewählte interne Bereitstellungen“ verwendet. Andere schafften es durch die Cyber-Fahndungskette von Dropbox, obwohl einige dieser E-Mails abgefangen und unter Quarantäne gestellt wurden.
Um ein Einmalpasswort zu erhalten, mussten die Empfänger eine gefälschte CircleCI-Anmeldeseite aufrufen, ihren GitHub-Benutzernamen und ihr Passwort eingeben und ihren Hardware-Authentifizierungsschlüssel verwenden. Von dort aus konnte der Bedrohungsakteur 130 Code-Repositories kopieren.
Dropbox wurde am 14. Oktober von GitHub benachrichtigt und der Bedrohungsakteur wurde noch am selben Tag rausgeschmissen. Danach rotierte das Sicherheitsteam von Dropbox die offengelegten Anmeldeinformationen und fand heraus, auf welche Daten zugegriffen wurde.
Die Untersuchung und Überwachung des Unternehmens, die von einem externen Cyber-Forensik-Team unterstützt wurde, ergab keine Hinweise auf einen erfolgreichen Missbrauch.
Es gebe keine Möglichkeit, dass Menschen jeden Phishing-Köder erkennen könnten, sagte das Unternehmen. Zu ihren Aufgaben gehört es, auf Links zu klicken und Anhänge zu öffnen. Eine sorgfältig formulierte Botschaft, die zur richtigen Zeit und am richtigen Ort übermittelt wird, kann selbst den skeptischsten und wachsamsten Fachmann täuschen. Deshalb ist Phishing so effektiv – und technische Kontrollen sind der beste Schutz dagegen. Je raffinierter die Bedrohungen werden, desto wichtiger sind diese Kontrollen.
Die Vertrauenswürdigkeit von Dropbox hat für unser Team oberste Priorität. Wir legen an uns selbst einen höheren Standard fest, auch wenn dieser Bedrohungsakteur nur begrenzten Zugriff hatte. Es tut uns leid, dass wir es nicht geschafft haben, und entschuldigen uns für die Unannehmlichkeiten.“
Dropbox führt aufgrund des Cyberangriffs nun WebAuthn für die Verwaltung von Anmeldeinformationen ein, das es als „Goldstandard“ der Multi-Faktor-Authentifizierung (MFA) bezeichnet. Nach dem Angriff wurde WebAuthn MFA eingeführt und Kunden können es verwenden.
Die Beliebtheit von Phishing nimmt bei Hackern immer weiter zu, da andere Sicherheitsmaßnahmen verbessert werden und es dennoch effektiv und kostengünstig bleibt“, sagte Martin Jartelius von Outpost24.
„Es gibt einige Möglichkeiten, diese Bedrohungen zu umgehen, beispielsweise die Verwendung von in Browsern integrierten Passwort-Managern, damit sie bei Phishing-Versuchen keine Passwörter weitergeben, wenn sie keine passende Domain haben.“ Ebenso können YubiKeys verwendet werden, um die Site-Identität für den zweiten Faktor zu validieren.“
Jartelius sagte: „Wir können hier feststellen, dass der betroffene Benutzer zwar auf die Repositories der meisten Entwickler zugreifen musste, die Kernprodukt-Repositories jedoch nicht eingeschlossen waren.“ Weniger toll ist, dass persönliche Daten von Mitarbeitern und Partnern in Git-Repositories gespeichert wurden. Ich hoffe, dass dies nur die Kontaktinformationen der Entwickler betrifft, aber die veröffentlichten Informationen sind nicht ganz klar.“
Sam Curry von Cybereason sagt, dass Dropbox aufgrund seiner ultimativen Rolle als „Super-Aggregator von Daten“ zu einem attraktiven und möglicherweise äußerst lukrativen Ziel für Hacker wird und es daher schwieriger zu hacken ist.
Um nicht zum Opfer zu werden, müssen sie weitaus bessere Sicherheitsmaßnahmen ergreifen als ein durchschnittliches Unternehmen ihrer Größe und ihres Umsatzes.
Von außen betrachtet sieht es so aus, als ob Dropbox seine Schwächen kennt und Pläne zur Verbesserung der Identitätssicherheit und Authentifizierung beschleunigt.
Machen Sie weiter, suchen Sie nach einzelnen Fehlerquellen, seien Sie nach einem Vorfall transparent, aktualisieren Sie Risikobewertungen, ziehen Sie Lehren und behalten Sie stets Kunden und Partner im Auge. Du wirst als Held oder Bösewicht in die Geschichte eingehen, niemals als Opfer, also sei ein Held.“