Dropbox heeft openbaar gemaakt hoe een phishing-campagne een van zijn GitHub-accounts heeft gekaapt en code en gegevens heeft gecompromitteerd door zich voor te doen als het code-integratie- en leveringsplatform CircleCI.
Er werd toegang verkregen tot een aantal werknemers, klanten, verkoopleads en leveranciers, inclusief API-sleutels die door de ontwikkelaars van Dropbox werden gebruikt.
CircleCI werd eerder nagebootst in een soortgelijke phishing-campagne door bedreigingsactoren.
Dropbox zei dat het probleem snel was opgelost. Er is geen toegang verkregen tot inhoud, wachtwoorden of betalingsgegevens. Omdat we nog beperktere toegang hebben, zijn we de toegang tot onze kernapps of infrastructuur niet kwijtgeraakt.
“Wij denken niet dat klanten risico lopen.” Deze bedreigingsacteur heeft geen toegang gehad tot Dropbox-account, wachtwoord of betalingsgegevens.”
In een verklaring zei het bedrijf: “We doen er alles aan om de privacy van onze klanten, partners en werknemers te beschermen, en hoewel we denken dat elk risico voor hen minimaal is, hebben we hen hiervan op de hoogte gesteld.”
De inbreuk werd medio oktober ontdekt toen Dropboxers e-mails ontvingen die afkomstig leken te zijn van CircleCI, dat Dropbox gebruikt voor 'geselecteerde interne implementaties'. Anderen zijn door het cybersleepnet van Dropbox gekomen, ook al werden sommige van deze e-mails onderschept en in quarantaine geplaatst.
Om een eenmalig wachtwoord te krijgen, moesten de ontvangers naar een valse CircleCI-inlogpagina gaan, hun GitHub-gebruikersnaam en -wachtwoord invoeren en hun hardware-authenticatiesleutel gebruiken. Van daaruit kon de bedreigingsacteur 130 codeopslagplaatsen kopiëren.
Dropbox kreeg op 14 oktober een melding van GitHub en de bedreigingsacteur werd diezelfde dag eruit gezet. Daarna heeft het beveiligingsteam van Dropbox de openbaar gemaakte inloggegevens gerouleerd en ontdekt welke gegevens toegankelijk waren.
Het onderzoek en de monitoring van het bedrijf, ondersteund door een extern cyberforensisch team, hebben geen bewijs gevonden van succesvol misbruik.
Het is onmogelijk dat mensen elk phishing-lokmiddel kunnen detecteren, aldus het bedrijf. Het is een fundamenteel onderdeel van hun werk om op links te klikken en bijlagen te openen. Een zorgvuldig samengestelde boodschap die op de juiste tijd en plaats wordt afgeleverd, kan zelfs de meest sceptische, waakzame professional voor de gek houden. Hierdoor is phishing zo effectief – en technische controles vormen de beste bescherming hiertegen. Hoe geavanceerder de bedreigingen worden, hoe belangrijker deze controles worden.
Dropbox betrouwbaar houden is de topprioriteit van ons team. We houden onszelf aan een hogere standaard, ook al had deze dreigingsactoren beperkte toegang. Het spijt ons dat we tekort zijn geschoten en bieden onze excuses aan als u hiervan hinder heeft ondervonden.”
Dropbox gebruikt nu WebAuthn voor het beheer van inloggegevens vanwege de cyberaanval, die het bedrijf omschreef als de “gouden standaard” van multi-factor authenticatie (MFA). Na de aanval is WebAuthn MFA overgenomen en kunnen klanten deze gebruiken.
De populariteit van phishing onder hackers blijft groeien naarmate andere beveiligingsmaatregelen verbeteren, terwijl het effectief en goedkoop blijft”, zegt Martin Jartelius van Outpost24.
“Er zijn een paar manieren om deze bedreigingen te omzeilen, zoals het gebruik van wachtwoordmanagers die in browsers zijn geïntegreerd, zodat ze geen wachtwoorden opgeven bij phishing-pogingen als ze niet over een overeenkomend domein beschikken.” In dezelfde geest kan YubiKeys worden gebruikt om de identiteit van de site voor de tweede factor te valideren.”
Jartelius zei: “We kunnen hier opmerken dat hoewel de getroffen gebruiker toegang had tot de repository's van de meeste ontwikkelaars, dit niet de belangrijkste productrepository's omvatte. Minder mooi is dat persoonlijke gegevens van personeel en partners werden opgeslagen in git-repository's. Ik hoop dat dit alleen betrekking heeft op de contactgegevens van ontwikkelaars, maar de vrijgegeven informatie is niet bepaald duidelijk.”
Sam Curry van Cybereason zegt dat de ultieme rol van Dropbox als 'super-aggregator van gegevens' het een aantrekkelijk en potentieel zeer lucratief doelwit voor hackers maakt, waardoor het zichzelf moeilijker zou moeten maken om te hacken.
Om te voorkomen dat ze slachtoffer worden, moeten ze veel betere beveiliging bieden dan een gemiddeld bedrijf van hun omvang en omzet.
Van buitenaf lijkt het erop dat Dropbox zijn zwakke punten kent en plannen versnelt om de identiteitsbeveiliging en authenticatie te verbeteren.
Blijf doorgaan, zoek naar afzonderlijke faalpunten, wees transparant na een incident, update risicobeoordelingen, leer lessen en houd altijd klanten en partners in gedachten. Je gaat de geschiedenis in als held of slechterik, nooit als slachtoffer, dus wees een held.”