Dropbox, bir kimlik avı kampanyasının GitHub hesaplarından birini nasıl ele geçirdiğini ve kod entegrasyonu ve dağıtım platformu CircleCI'yi taklit ederek kod ve verileri nasıl tehlikeye attığını kamuya açıkladı.
Dropbox geliştiricileri tarafından kullanılan API anahtarları da dahil olmak üzere birkaç çalışana, müşteriye, satış liderine ve satıcıya erişildi.
CircleCI daha önce de benzer bir kimlik avı kampanyasında tehdit aktörleri tarafından taklit edilmişti.
Dropbox, sorunun hızla çözüldüğünü söyledi. Hiçbir içeriğe, şifreye veya ödeme bilgisine erişilmedi. Erişimimiz daha da kısıtlı olduğundan temel uygulamalarımıza veya altyapımıza erişimimizi kaybetmedik.
“Müşterilerin risk altında olduğunu düşünmüyoruz.” Bu tehdit aktörü hiçbir Dropbox hesabına, şifresine veya ödeme bilgisine erişmedi."
Firma yaptığı açıklamada şunları söyledi: "Müşterilerimizin, ortaklarımızın ve çalışanlarımızın gizliliğini korumaya kararlıyız ve onlar için herhangi bir riskin minimum olduğunu düşünsek de onları bilgilendirdik."
İhlal, Dropbox'çıların, Dropbox'ın "seçili dahili dağıtımlar" için kullandığı CircleCI'den geliyormuş gibi görünen e-postalar almasıyla Ekim ortasında keşfedildi. Bazıları ise bu e-postaların bazılarının ele geçirilip karantinaya alınmasına rağmen Dropbox'ın siber ağlarını geçmeyi başardı.
Tek kullanımlık şifre almak için alıcıların sahte CircleCI giriş sayfasına gitmeleri, GitHub kullanıcı adlarını ve şifrelerini girmeleri ve donanım kimlik doğrulama anahtarlarını kullanmaları gerekiyordu. Tehdit aktörü buradan 130 kod deposunu kopyalamayı başardı.
Dropbox, 14 Ekim'de GitHub tarafından bilgilendirildi ve tehdit aktörü aynı gün atıldı. Bundan sonra Dropbox'ın güvenlik ekibi açığa çıkan kimlik bilgilerini değiştirdi ve hangi verilere erişildiğini buldu.
Şirketin üçüncü taraf bir siber adli tıp ekibi tarafından desteklenen soruşturması ve izlemesi, başarılı bir suiistimal kanıtı bulamadı.
Firma, insanların her kimlik avı tuzağını tespit etmesinin mümkün olmadığını söyledi. Bağlantılara tıklamak ve ekleri açmak işlerinin temel bir parçasıdır. Doğru zamanda ve yerde verilen dikkatle hazırlanmış bir mesaj, en şüpheci ve ihtiyatlı profesyoneli bile kandırabilir. Kimlik avı bu nedenle çok etkilidir ve teknik kontroller bunlara karşı en iyi korumadır. Tehditler karmaşıklaştıkça bu kontroller de daha kritik hale gelir.
Dropbox'ı güvenilir tutmak ekibimizin en büyük önceliğidir. Bu tehdit aktörünün erişimi sınırlı olmasına rağmen kendimizi daha yüksek bir standartta tutuyoruz. Yetersiz kaldığımız için üzgünüz ve eğer rahatsızlık duyduysanız özür dileriz."
Dropbox, çok faktörlü kimlik doğrulamanın (MFA) "altın standardı" olarak tanımladığı siber saldırı nedeniyle artık kimlik bilgisi yönetimi için WebAuthn'u benimsiyor. Saldırının ardından WebAuthn MFA'yı benimsedi ve müşteriler bunu kullanabilir.
Outpost24'ten Martin Jartelius, kimlik avının popülaritesinin bilgisayar korsanları arasında artmaya devam ettiğini, diğer güvenlik önlemlerinin de etkili ve ucuz kalmasını sağladığını belirtti.
"Bu tehditleri atlatmanın, tarayıcılara entegre şifre yöneticilerini kullanmak gibi birkaç yolu var; böylece eşleşen bir etki alanı yoksa kimlik avı girişimlerinde şifre göndermeyecekler." Aynı şekilde YubiKeys, ikinci faktör için site kimliğini doğrulamak için kullanılabilir."
Jartelius şunları söyledi: “Burada, etkilenen kullanıcının çoğu geliştiricinin deposuna erişmek zorunda olmasına rağmen, bunun temel ürün depolarını içermediğini belirtebiliriz. Daha az şaşırtıcı olan ise personel ve ortaklara ait kişisel verilerin git depolarında saklanmasıdır. Bunun yalnızca geliştiricinin iletişim bilgileriyle ilgili olmasını umuyorum ancak açıklanan bilgiler tam olarak net değil."
Cybereason'dan Sam Curry, Dropbox'ın "süper veri toplayıcı" olarak nihai rolünün onu bilgisayar korsanları için çekici ve potansiyel olarak oldukça kazançlı bir hedef haline getirdiğini, bu nedenle hacklenmeyi zorlaştırması gerektiğini söylüyor.
Mağdur olmamak için kendi büyüklük ve gelirlerindeki ortalama bir şirketten çok daha iyi güvenlik sağlamaları gerekiyor.
Dışarıdan bakıldığında Dropbox'ın zayıf yönlerini bildiği ve kimlik güvenliğini ve kimlik doğrulamayı iyileştirme planlarını hızlandırdığı görülüyor.
Devam edin, tek başarısızlık noktalarını arayın, olay sonrasında şeffaf olun, risk değerlendirmelerini güncelleyin, dersler alın ve müşterileri ve iş ortaklarını her zaman aklınızda tutun. Tarihe bir kahraman ya da kötü adam olarak geçeceksiniz, asla bir kurban olarak değil, o yüzden bir kahraman olun.”