Dropbox ha rivelato pubblicamente come una campagna di phishing ha violato uno dei suoi account GitHub e compromesso codice e dati spacciandosi per la piattaforma di integrazione e distribuzione del codice CircleCI.
È stato effettuato l'accesso ad alcuni dipendenti, clienti, contatti di vendita e fornitori, comprese le chiavi API utilizzate dagli sviluppatori di Dropbox.
CircleCI era stato precedentemente impersonificato in una campagna di phishing simile da parte di autori di minacce.
Dropbox ha affermato che il problema è stato risolto rapidamente. Non è stato effettuato l'accesso a contenuti, password o informazioni di pagamento. Poiché abbiamo un accesso ancora più limitato, non abbiamo perso l'accesso alle nostre app o alla nostra infrastruttura principale.
“Non pensiamo che i clienti siano a rischio.” Questo autore della minaccia non ha avuto accesso ad alcun account Dropbox, password o informazioni di pagamento."
In una dichiarazione, l'azienda ha affermato: "Ci impegniamo a proteggere la privacy dei nostri clienti, partner e dipendenti e, sebbene riteniamo che qualsiasi rischio per loro sia minimo, li abbiamo informati".
La violazione è stata scoperta a metà ottobre quando i Dropboxer hanno ricevuto e-mail che sembravano provenire da CircleCI, che Dropbox utilizza per "distribuzioni interne selezionate". Altri sono riusciti a superare la rete informatica di Dropbox, anche se alcune di queste e-mail sono state intercettate e messe in quarantena.
Per ottenere una password monouso, i destinatari dovevano accedere a una falsa pagina di accesso di CircleCI, inserire il nome utente e la password di GitHub e utilizzare la chiave di autenticazione hardware. Da lì, l’autore della minaccia è riuscito a copiare 130 repository di codici.
Dropbox è stato avvisato da GitHub il 14 ottobre e l'autore della minaccia è stato espulso lo stesso giorno. Successivamente, il team di sicurezza di Dropbox ha ruotato le credenziali esposte e ha scoperto a quali dati era stato effettuato l'accesso.
Le indagini e il monitoraggio dell'azienda, supportati da un team di cyber forensics di terze parti, non hanno trovato prove di abusi riusciti.
Non è possibile che gli esseri umani possano rilevare ogni esca di phishing, ha affermato l'azienda. Fare clic sui collegamenti e aprire gli allegati è una parte fondamentale del loro lavoro. Un messaggio elaborato con cura e trasmesso al momento e nel luogo giusto può ingannare anche il professionista più scettico e vigile. Per questo motivo il phishing è così efficace e i controlli tecnici rappresentano la migliore protezione contro di esso. Quanto più le minacce diventano sofisticate, tanto più critici diventano questi controlli.
Mantenere Dropbox affidabile è la massima priorità del nostro team. Ci atteniamo a standard più elevati, anche se questo autore della minaccia aveva un accesso limitato. Siamo spiacenti di non essere stati all'altezza e ci scusiamo se avete subito degli inconvenienti."
Dropbox sta ora adottando WebAuthn per la gestione delle credenziali a causa dell'attacco informatico, che ha descritto come il "gold standard" dell'autenticazione a più fattori (MFA). Dopo l'attacco, ha adottato WebAuthn MFA e i clienti possono utilizzarlo.
La popolarità del phishing continua a crescere tra gli hacker man mano che altre misure di sicurezza migliorano pur rimanendo efficaci ed economiche", ha affermato Martin Jartelius di Outpost24.
"Esistono alcuni modi per aggirare queste minacce, come l'utilizzo di gestori di password integrati nei browser, in modo che non inviino password nei tentativi di phishing se non hanno un dominio corrispondente." Allo stesso modo, YubiKeys può essere utilizzato per convalidare l’identità del sito per il secondo fattore.”
Jartelius ha dichiarato: “Possiamo notare qui che mentre l'utente interessato doveva accedere alla maggior parte dei repository degli sviluppatori, ciò non includeva i repository del prodotto principale. Meno interessante è il fatto che i dati personali del personale e dei partner siano stati archiviati nei repository git. Spero che questo riguardi solo le informazioni di contatto dello sviluppatore, ma le informazioni rilasciate non sono esattamente chiare."
Sam Curry di Cybereason afferma che il ruolo fondamentale di Dropbox come "super-aggregatore di dati" lo rende un obiettivo attraente e potenzialmente molto redditizio per gli hacker, quindi dovrebbe essere più difficile da hackerare.
Per evitare di esserne vittime, devono garantire una sicurezza molto migliore rispetto a un’azienda media delle loro dimensioni e dei loro ricavi.
Dall’esterno sembra che Dropbox conosca i propri punti deboli e stia accelerando i piani per migliorare la sicurezza e l’autenticazione dell’identità.
Vai avanti, cerca i singoli punti deboli, sii trasparente dopo l'incidente, aggiorna le valutazioni dei rischi, impara le lezioni e tieni sempre a mente clienti e partner. Passerai alla storia come un eroe o un cattivo, mai come una vittima, quindi sii un eroe.