La connexion de Dropbox et d'autres détails cruciaux ont été divulgués lors d'une attaque de phishing

ByRébecca Fraser Heures

Dropbox a révélé publiquement comment une campagne de phishing a détourné l'un de ses comptes GitHub et compromis le code et les données en se faisant passer pour la plateforme d'intégration et de livraison de code CircleCI.

Quelques employés, clients, prospects et fournisseurs ont été consultés, y compris les clés API utilisées par les développeurs de Dropbox.

CircleCI avait déjà été usurpé dans une campagne de phishing similaire par des acteurs malveillants.

Dropbox a déclaré que le problème avait été rapidement résolu. Aucun contenu, mot de passe ou information de paiement n'a été consulté. Comme nous disposons d’un accès encore plus restreint, nous n’avons pas perdu l’accès à nos applications ou infrastructures principales.

"Nous ne pensons pas que les clients courent un risque." Cet acteur malveillant n’a accédé à aucun compte Dropbox, mot de passe ou information de paiement.

Dans un communiqué, la société a déclaré : « Nous nous engageons à protéger la vie privée de nos clients, partenaires et employés, et même si nous pensons que tout risque pour eux est minime, nous les en avons informés. »

La faille a été découverte à la mi-octobre lorsque les utilisateurs de Dropbox ont reçu des e-mails qui semblaient provenir de CircleCI, que Dropbox utilise pour « certains déploiements internes ». D'autres ont réussi à échapper au réseau informatique de Dropbox, même si certains de ces e-mails ont été interceptés et mis en quarantaine.

Pour obtenir un mot de passe à usage unique, les destinataires devaient se rendre sur une fausse page de connexion CircleCI, saisir leur nom d'utilisateur et leur mot de passe GitHub et utiliser leur clé d'authentification matérielle. À partir de là, l’acteur malveillant a pu copier 130 référentiels de code.

Dropbox a été informé par GitHub le 14 octobre et l'auteur de la menace a été expulsé le même jour. Après cela, l'équipe de sécurité de Dropbox a alterné les informations d'identification exposées et a découvert quelles données avaient été consultées.

L'enquête et la surveillance de l'entreprise, soutenues par une équipe tierce de cybercriminalité, n'ont trouvé aucune preuve d'abus réussi.

Il est impossible pour les humains de détecter tous les leurres de phishing, a déclaré la société. Cliquer sur des liens et ouvrir des pièces jointes constitue une partie fondamentale de leur travail. Un message soigneusement rédigé, délivré au bon moment et au bon endroit, peut tromper même le professionnel le plus sceptique et vigilant. C’est pour cette raison que le phishing est si efficace – et les contrôles techniques constituent la meilleure protection contre ce phénomène. Plus les menaces deviennent sophistiquées, plus ces contrôles deviennent critiques.

Garder Dropbox digne de confiance est la priorité absolue de notre équipe. Nous nous imposons des normes plus élevées, même si cet acteur menaçant avait un accès limité. Nous sommes désolés d'avoir échoué et nous nous excusons si vous avez été gêné.

Dropbox adopte désormais WebAuthn pour la gestion des informations d'identification en raison de la cyberattaque, qu'elle a décrite comme la « référence » en matière d'authentification multifacteur (MFA). Après l’attaque, il a adopté WebAuthn MFA et les clients peuvent l’utiliser.

La popularité du phishing ne cesse de croître parmi les pirates informatiques à mesure que d'autres mesures de sécurité s'améliorent tout en restant efficaces et bon marché », a déclaré Martin Jartelius d'Outpost24.

"Il existe plusieurs façons de contourner ces menaces, par exemple en utilisant des gestionnaires de mots de passe intégrés aux navigateurs, afin qu'ils ne soumettent pas de mots de passe lors de tentatives de phishing s'ils ne disposent pas d'un domaine correspondant." Dans le même ordre d’idées, YubiKeys peut être utilisé pour valider l’identité du site pour le deuxième facteur.

Jartelius a déclaré : « Nous pouvons noter ici que même si l'utilisateur concerné devait accéder à la plupart des référentiels de développeurs, il n'incluait pas les référentiels de produits principaux. Ce qui est moins intéressant, c'est que les données personnelles du personnel et des partenaires étaient stockées dans des référentiels git. J'espère que cela concerne uniquement les coordonnées des développeurs, mais les informations publiées ne sont pas tout à fait claires.

Sam Curry de Cybereason affirme que le rôle ultime de Dropbox en tant que « super-agrégateur de données » en fait une cible attrayante et potentiellement très lucrative pour les pirates informatiques, et qu'il devrait donc être plus difficile à pirater.

Pour éviter d’être victimes, ils doivent assurer une sécurité bien meilleure qu’une entreprise moyenne de leur taille et de leur chiffre d’affaires.

De l’extérieur, il semble que Dropbox connaisse ses faiblesses et accélère ses projets visant à améliorer la sécurité des identités et l’authentification.

Continuez, recherchez les points de défaillance uniques, soyez transparent après un incident, mettez à jour les évaluations des risques, tirez des leçons et gardez toujours les clients et les partenaires à l'esprit. Vous entrerez dans l'histoire en héros ou en méchant, jamais en victime, alors soyez un héros.

Auteur

  • Rébecca Fraser

    Rebecca couvre tous les aspects de la technologie Mac et PC, y compris les jeux sur PC et les périphériques, chez Digital Phablet. Au cours des dix années précédentes, elle a construit plusieurs ordinateurs de bureau pour les jeux et la production de contenu, malgré sa formation en prothèses et en modélisme. Jouant à des jeux vidéo et à des jeux de table, diffusant occasionnellement au grand désarroi de tous, elle aime se lancer dans l'art numérique et l'impression 3D.

    Voir tous les messages

Similar Posts

Apple iPhone 14 Pro coûtera environ 1099 48 $ et sera livré avec un appareil photo XNUMX MP

ByRébecca Fraser

Le prix de l’Apple iPhone 14 Pro commence à 1099 XNUMX $, ce qui est le premier signe que tout deviendra plus cher en ces temps d’inflation. Nous ne retenons pas notre souffle pour l’intégration USB-C, mais ce serait bien. Auteur Rebecca Fraser Rebecca couvre tous les aspects de la technologie Mac et PC, y compris les jeux sur PC et les périphériques, à…

Google Chrome classé comme le navigateur le plus nuisible en 2022

ByRébecca Fraser

Parmi tous les principaux navigateurs, Google Chrome présente le plus de vulnérabilités. Le navigateur le plus populaire au monde est Chrome, qui représente plus de 60 % de l'utilisation selon la plupart des sources, ce qui signifie qu'un plus grand nombre de personnes sont en danger jusqu'à ce que les bugs soient résolus. Il existe des failles de sécurité dans chaque navigateur…

Des millions d’ordinateurs Dell sur le point d’être piratés – mettez à jour immédiatement

ByPhablette numérique

Dell a publié jeudi un article de blog invitant ses clients à mettre à jour leurs PC et ordinateurs portables Dell pour corriger une vulnérabilité de sécurité, qui permet aux pirates informatiques d'obtenir un accès complet à votre ordinateur. Auteur DigitalPhablet Voir tous les articles

Laissez un commentaire

Votre adresse email n'apparaitra pas. Les champs obligatoires sont marqués *

Ce site utilise Akismet pour réduire les spams. Découvrez comment sont traitées les données de vos commentaires..