Dropbox mengonfirmasi pelanggaran keamanan serius di mana peretas mencuri kode dari 130 repositori GitHub

Dropbox mengonfirmasi pelanggaran keamanan serius di mana peretas mencuri kode dari 130 repositori GitHub

Dropbox di laptop

Dropbox telah mengungkapkan rincian serangan phishing yang menjadi korbannya. Dalam serangan itu, aktor ancaman dapat mencuri kode dari perusahaan setelah mengumpulkan kredensial karyawan ke repositori GitHub.

Pelanggaran keamanan terjadi pada pertengahan bulan lalu, dengan GitHub memberi tahu Dropbox tentang aktivitas akun yang mencurigakan pada 14 Oktober. Perusahaan penyimpanan cloud mengatakan bahwa kode yang diakses “berisi beberapa kredensial — terutama, kunci API — yang digunakan oleh Dropbox pengembang” tetapi bersikeras bahwa “tidak ada konten, kata sandi, atau informasi pembayaran yang diakses”, dan bahwa aplikasi dan infrastruktur intinya tidak terpengaruh.

Lihat juga:

Dalam posting blog yang membahas beberapa detail tentang insiden tersebut, Dropbox mengatakan: “Dalam lanskap ancaman yang berkembang saat ini, orang-orang dibanjiri dengan pesan dan pemberitahuan, membuat umpan phishing sulit dideteksi. Pelaku ancaman telah bergerak lebih dari sekadar mengumpulkan nama pengguna dan kata sandi, ke memanen kode otentikasi multi-faktor juga. Pada bulan September, GitHub merinci satu kampanye phishing tersebut, di mana aktor ancaman mengakses akun GitHub dengan meniru integrasi kode dan platform pengiriman CircleCI. Kami baru-baru ini mengetahui bahwa Dropbox ditargetkan oleh kampanye serupa.

Perusahaan melanjutkan:

Pada 14 Oktober 2022, GitHub memberi tahu kami tentang beberapa perilaku mencurigakan yang dimulai pada hari sebelumnya. Setelah penyelidikan lebih lanjut, kami menemukan bahwa aktor ancaman — juga berpura-pura menjadi CircleCI — mengakses salah satu akun GitHub kami juga.

Pelaku ancaman ini sama sekali tidak memiliki akses ke konten akun Dropbox siapa pun, kata sandi mereka, atau informasi pembayaran mereka. Hingga saat ini, penyelidikan kami menemukan bahwa kode yang diakses oleh pelaku ancaman ini berisi beberapa kredensial — terutama, kunci API — yang digunakan oleh pengembang Dropbox. Kode dan data di sekitarnya juga mencakup beberapa ribu nama dan alamat email milik karyawan Dropbox, pelanggan saat ini dan sebelumnya, prospek penjualan, dan vendor (untuk konteksnya, Dropbox memiliki lebih dari 700 juta pengguna terdaftar). Kami menganggap serius komitmen kami untuk melindungi privasi pelanggan, mitra, dan karyawan kami, dan meskipun kami yakin risiko apa pun terhadap mereka minimal, kami telah memberi tahu mereka yang terpengaruh.

Dropbox selanjutnya menjelaskan bahwa ia menggunakan GitHub untuk meng-host repositori publik dan pribadi, dan menunjukkan bahwa ia menggunakan CircleCI untuk “pilih penerapan internal”. Dengan berpura-pura menjadi perwakilan CircleCI, pelaku ancaman dapat mengekstrak kredensial login dari karyawan Dropbox.

Secara keseluruhan, penyerang dapat mengakses 130 repositori kode sebelum akses terputus. Dropbox berkata:

Repositori ini termasuk salinan perpustakaan pihak ketiga kami yang sedikit dimodifikasi untuk digunakan oleh Dropbox, prototipe internal, dan beberapa alat dan file konfigurasi yang digunakan oleh tim keamanan. Yang penting, mereka tidak menyertakan kode untuk aplikasi atau infrastruktur inti kami. Akses ke repositori tersebut bahkan lebih terbatas dan dikontrol secara ketat.

Dropbox mengatakan bahwa mereka menggunakan pihak ketiga untuk melakukan penyelidikan tambahan untuk memastikan bahwa tidak ada data pelanggan yang terlibat, dan bahwa itu mempercepat adopsi WebAuthn — yang digambarkan sebagai “standar emas” alat otentikasi multi-faktor.

Informasi lebih lanjut tersedia di posting blog Dropbox di sini.

Kredit gambar: [email protected] /depositphotos

Author: Kenneth Henderson