Dropbox telah mendedahkan secara terbuka cara kempen pancingan data merampas salah satu akaun GitHubnya dan menjejaskan kod serta data dengan menyamar sebagai platform penyepaduan dan penghantaran kod CircleCI.
Beberapa pekerja, pelanggan, petunjuk jualan dan vendor telah diakses, termasuk kunci API yang digunakan oleh pembangun Dropbox.
CircleCI sebelum ini telah ditiru dalam kempen pancingan data yang sama oleh pelakon ancaman.
Dropbox berkata isu itu telah diselesaikan dengan cepat. Tiada kandungan, kata laluan atau maklumat pembayaran diakses. Memandangkan kami mempunyai akses yang lebih terhad, kami tidak kehilangan akses kepada apl atau infrastruktur teras kami.
"Kami tidak fikir pelanggan berisiko." Aktor ancaman ini tidak mengakses akaun Dropbox, kata laluan atau maklumat pembayaran.”
Dalam satu kenyataan, firma itu berkata: "Kami komited untuk melindungi pelanggan, rakan kongsi dan privasi pekerja kami, dan walaupun kami fikir sebarang risiko kepada mereka adalah minimum, kami memberitahu mereka."
Pelanggaran itu ditemui pada pertengahan Oktober apabila Dropboxers menerima e-mel yang seolah-olah datang daripada CircleCI, yang digunakan Dropbox untuk "penyerahan dalaman terpilih." Yang lain berjaya melalui jaring siber Dropbox, walaupun beberapa e-mel ini telah dipintas dan dikuarantin.
Untuk mendapatkan kata laluan sekali, penerima perlu pergi ke halaman log masuk CircleCI palsu, masukkan nama pengguna dan kata laluan GitHub mereka, dan gunakan kunci pengesahan perkakasan mereka. Dari situ, pelakon ancaman itu dapat menyalin 130 repositori kod.
Dropbox telah dimaklumkan oleh GitHub pada 14 Oktober, dan pelakon ancaman itu telah ditendang keluar pada hari yang sama. Selepas itu, pasukan keselamatan Dropbox memutarkan bukti kelayakan yang terdedah dan mengetahui data yang diakses.
Siasatan dan pemantauan syarikat itu, disokong oleh pasukan forensik siber pihak ketiga, tidak menemui bukti penyalahgunaan yang berjaya.
Tidak mungkin manusia dapat mengesan setiap gewang pancingan data, kata firma itu. Ia adalah bahagian asas tugas mereka untuk mengklik pautan dan membuka lampiran. Mesej yang dibuat dengan teliti yang disampaikan pada masa dan tempat yang betul boleh menipu walaupun profesional yang paling ragu-ragu dan berwaspada. Pancingan data sangat berkesan kerana ini – dan kawalan teknikal adalah perlindungan terbaik terhadapnya. Semakin canggih ancaman, semakin kritikal kawalan ini.
Memastikan Dropbox boleh dipercayai adalah keutamaan pasukan kami. Kami mengekalkan standard yang lebih tinggi, walaupun aktor ancaman ini mempunyai akses terhad. Kami minta maaf kerana kekurangan dan memohon maaf jika anda menyusahkan.”
Dropbox kini mengguna pakai WebAuthn untuk pengurusan kelayakan kerana serangan siber, yang disifatkannya sebagai "standard emas" pengesahan berbilang faktor (MFA). Selepas serangan itu, ia menerima pakai WebAuthn MFA, dan pelanggan boleh menggunakannya.
Populariti pancingan data terus berkembang di kalangan penggodam apabila langkah keselamatan lain bertambah baik sementara ia kekal berkesan dan murah,” kata Martin Jartelius dari Outpost24.
"Terdapat beberapa cara untuk memintas ancaman tersebut, seperti menggunakan pengurus kata laluan yang disepadukan ke dalam penyemak imbas, jadi mereka tidak akan menyerahkan kata laluan dalam percubaan pancingan data jika mereka tidak mempunyai domain yang sepadan." Dalam nada yang sama, YubiKeys boleh digunakan untuk mengesahkan identiti tapak untuk faktor kedua.”
Jartelius berkata: “Kami boleh ambil perhatian di sini bahawa walaupun pengguna yang terjejas terpaksa mengakses kebanyakan repositori pembangun, ia tidak termasuk repositori produk teras. Kurang hebat ialah data peribadi untuk kakitangan dan rakan kongsi disimpan dalam repositori git. Saya harap ini hanya berkaitan dengan maklumat hubungan pembangun, tetapi maklumat yang dikeluarkan tidak begitu jelas.”
Sam Curry dari Cybereason mengatakan bahawa peranan utama Dropbox sebagai "pengumpul data super" menjadikannya sasaran yang menarik dan berpotensi sangat menguntungkan untuk penggodam, jadi ia sepatutnya menjadikan dirinya lebih sukar untuk digodam.
Untuk mengelak daripada menjadi mangsa, mereka perlu melakukan keselamatan yang jauh lebih baik daripada purata syarikat sebesar dan hasil mereka.
Dari luar melihat ke dalam, nampaknya Dropbox mengetahui kelemahannya dan sedang mempercepatkan rancangan untuk meningkatkan keselamatan identiti dan pengesahan.
Teruskan, cari titik kegagalan tunggal, telus selepas kejadian, kemas kini penilaian risiko, pelajari pelajaran dan sentiasa ingatkan pelanggan dan rakan kongsi. Anda akan tercatat dalam sejarah sebagai hero atau penjahat, bukan sebagai mangsa, jadi jadilah hero.”