O Dropbox revelou detalhes de um ataque de phishing do qual foi vítima. No ataque, um agente de ameaças conseguiu roubar código da empresa depois de coletar credenciais de funcionários nos repositórios do GitHub. Portanto, o Dropbox confirma grave violação de segurança em que hackers roubaram código de 130 repositórios do GitHub.
A violação de segurança ocorreu em meados do mês passado, com o GitHub notificando o Dropbox sobre atividades suspeitas da conta em 14 de outubro. A empresa de armazenamento em nuvem diz que o código que foi acessado “continha algumas credenciais – principalmente chaves de API – usadas pelo Dropbox desenvolvedores”, mas insiste que “nenhum conteúdo, senhas ou informações de pagamento foram acessados” e que seus principais aplicativos e infraestrutura não foram afetados.
Dropbox confirma grave violação de segurança: hackers roubaram código de 130 repositórios do GitHub
Em uma postagem no blog que detalha o incidente, o Dropbox diz: “No cenário de ameaças em evolução de hoje, as pessoas são inundadas com mensagens e notificações, dificultando a detecção de iscas de phishing. Os agentes de ameaças foram além de simplesmente coletar nomes de usuário e senhas, para coletando códigos de autenticação multifator também.
Em setembro, o GitHub detalhou uma dessas campanhas de phishing, na qual um agente de ameaça acessou contas do GitHub personificando a plataforma de integração e entrega de código CircleCI. Recentemente, descobrimos que o Dropbox foi alvo de uma campanha semelhante.
A empresa continua:
Em 14 de outubro de 2022, o GitHub nos alertou sobre alguns comportamentos suspeitos que começaram no dia anterior. Após uma investigação mais aprofundada, descobrimos que um agente de ameaça – também fingindo ser CircleCI – também acessou uma de nossas contas do GitHub.
Em nenhum momento esse agente de ameaças teve acesso ao conteúdo da conta do Dropbox de qualquer pessoa, sua senha ou suas informações de pagamento. Até o momento, nossa investigação descobriu que o código acessado por esse agente de ameaças continha algumas credenciais – principalmente, chaves de API – usadas pelos desenvolvedores do Dropbox.
O código e os dados em torno dele também incluíam alguns milhares de nomes e endereços de e-mail pertencentes a funcionários do Dropbox, clientes atuais e anteriores, leads de vendas e fornecedores (para contextualizar, o Dropbox tem mais de 700 milhões de usuários registrados). Levamos a sério nosso compromisso de proteger a privacidade de nossos clientes, parceiros e funcionários e, embora acreditemos que qualquer risco para eles seja mínimo, notificamos os afetados.
O Dropbox continua explicando que usa o GitHub para hospedar repositórios públicos e privados e aponta que faz uso do CircleCI para “implantações internas selecionadas”. Foi fingindo ser um representante do CircleCI que o agente da ameaça conseguiu extrair a credencial de login dos funcionários do Dropbox.
Ao todo, o invasor conseguiu acessar 130 repositórios de código antes que o acesso fosse interrompido. Dropbox diz:
Esses repositórios incluíam nossas próprias cópias de bibliotecas de terceiros ligeiramente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados ??pela equipe de segurança. É importante ressaltar que eles não incluíam código para nossos principais aplicativos ou infraestrutura. O acesso a esses repositórios é ainda mais limitado e estritamente controlado.
O Dropbox diz que está usando um terceiro para conduzir investigações adicionais para garantir que nenhum dado do cliente esteja envolvido e que está acelerando sua adoção do WebAuthn – que descreve como o “padrão ouro” das ferramentas de autenticação multifator.
Mais informações estão disponíveis na postagem do blog do Dropbox aqui.