Χάκερ καταφέρνει phising επίθεση στο Dropbox, αποκτώντας πρόσβαση στον εταιρικό κώδικα

Το Dropbox υποστηρίζει: “Δεν εντοπίστηκε πρόσβαση στο περιεχόμενο, στους κωδικούς πρόσβασης ή στις πληροφορίες πληρωμής κανενός και το πρόβλημα επιλύθηκε γρήγορα”.

Τον περασμένο μήνα, ένας χάκερ παραβίασε με επιτυχία τον πάροχο cloud storage Dropbox, αλλά δεν κλάπηκαν πληροφορίες χρηστών.

Το Dropbox αποκάλυψε την παραβίαση εντοπίζοντας ως απαρχή phishing emails που στάλθηκαν σε υπαλλήλους της εταιρείας στις αρχές Οκτωβρίου. Η εταιρεία έμαθε για την εισβολή στις 14 Οκτωβρίου, οπότε και τερμάτισε την πρόσβαση του χάκερ.

“Σε καμία περίπτωση αυτός ο χάκερ δεν είχε πρόσβαση στα περιεχόμενα του λογαριασμού οποιουδήποτε χρήστη Dropbox, στον κωδικό πρόσβασής του ή στα στοιχεία πληρωμής του”, ανέφερε η εταιρεία.

Αντίθετα, η παραβίαση παγίδευσε τους λογαριασμούς GitHub του Dropbox, όπου οι προγραμματιστές λογισμικού εργάζονται και αποθηκεύουν έργα κωδικοποίησης υπολογιστών. Ως αποτέλεσμα, ο χάκερ μπόρεσε να αποκτήσει πρόσβαση και να αντιγράψει 130 αποθετήρια κώδικα από το Dropbox, αν και κανένα από τα κλεμμένα δεδομένα δεν αφορούσε την κύρια υπηρεσία cloud storage του Dropbox.

“Αυτά τα αποθετήρια περιλάμβαναν δικά μας αντίγραφα βιβλιοθηκών τρίτων, ελαφρώς τροποποιημένα για χρήση από το Dropbox, εσωτερικά πρωτότυπα και ορισμένα εργαλεία και αρχεία διαμόρφωσης που χρησιμοποιούνται από την ομάδα ασφαλείας. Είναι σημαντικό ότι δεν περιλάμβαναν κώδικα για τις βασικές εφαρμογές ή την υποδομή μας. Η πρόσβαση σε αυτά τα αποθετήρια είναι ακόμη πιο περιορισμένη και αυστηρά ελεγχόμενη” δήλωσε η εταιρεία.

Ως εκ τούτου, το Dropbox υποστηρίζει ότι η παραβίαση θα πρέπει να αποτελεί “ελάχιστο κίνδυνο” για τους πελάτες του. “Ελέγξαμε επίσης τα αρχεία καταγραφής μας και δεν βρήκαμε στοιχεία επιτυχούς κατάχρησης”, πρόσθεσε η εταιρεία. “Για να είμαστε σίγουροι, προσλάβαμε εξωτερικούς ειδικούς για να επαληθεύσουμε τα ευρήματά μας και αναφέραμε αυτό το συμβάν στις αρμόδιες ρυθμιστικές αρχές και τις αρχές επιβολής του νόμου”.

Ωστόσο, η παραβίαση επηρέασε πολλούς υπαλλήλους του Dropbox και ορισμένους προηγούμενους εταιρικούς πελάτες. “Μέχρι σήμερα, η έρευνά μας διαπίστωσε ότι ο κώδικας στον οποίο είχε πρόσβαση αυτός ο hacker περιείχε ορισμένα διαπιστευτήρια —κυρίως κλειδιά API— που χρησιμοποιούνται από προγραμματιστές του Dropbox. Ο κώδικας και τα δεδομένα γύρω από αυτόν περιλάμβαναν επίσης μερικές χιλιάδες ονόματα και διευθύνσεις ηλεκτρονικού ταχυδρομείου που ανήκαν σε υπαλλήλους του Dropbox , τρέχοντες και προηγούμενους πελάτες, δυνητικούς πελάτες πωλήσεων και προμηθευτές”, ανέφερε ο πάροχος αποθήκευσης cloud.

Ο χάκερ μπόρεσε να υποκλέψει την πρόσβαση στα αποθετήρια του GitHub στέλνοντας μηνύματα ηλεκτρονικού ψαρέματος που προσποιούνταν ότι προέρχονταν από μια εταιρεία του Σαν Φρανσίσκο που ονομάζεται CirceCI, μια εταιρεία παροχής μηχανών αυτοματισμού λογισμικού. Τον Σεπτέμβριο, το ίδιο το GitHub προειδοποίησε τους χρήστες του για phishing emails που μιμούνται το CircleCI, τα οποία ήταν επίσης ικανά να συλλέγουν κωδικούς πρόσβασης χρηστών και κωδικούς επαλήθευσης πολλαπλών βημάτων από θύματα.

Το Dropbox αποκάλυψε ότι δέχτηκε τέτοιου είδους επίθεση με παρόμοια μηνύματα phishing τον περασμένο μήνα. “Ενώ τα συστήματά μας έθεσαν αυτόματα σε καραντίνα ορισμένα από αυτά τα email, άλλα προσγειώθηκαν στα εισερχόμενα των Dropboxers. Αυτά τα νόμιμα μηνύματα ηλεκτρονικού ταχυδρομείου οδήγησαν τους υπαλλήλους να επισκεφτούν μια ψεύτικη σελίδα σύνδεσης CircleCI, να εισαγάγουν το όνομα χρήστη και τον κωδικό πρόσβασής τους στο GitHub και στη συνέχεια να χρησιμοποιήσουν το κλειδί ελέγχου ταυτότητας υλικού για να περάσουν έναν Κωδικό Πρόσβασης Μίας Χρήσης (OTP) στον κακόβουλο ιστότοπο”, τόνισε η εταιρεία.

Σε απάντησή του, το Dropbox θα καταργήσει σταδιακά τη χρήση κωδικών πρόσβασης μίας χρήσης για το σύστημα σύνδεσης ελέγχου ταυτότητας πολλαπλών παραγόντων και θα υιοθετήσει αντ ‘αυτού το WebAuthn. “Σύντομα, ολόκληρο το περιβάλλον μας θα ασφαλιστεί από το WebAuthn με διακριτικά hardware ή βιομετρικούς παράγοντες”, πρόσθεσε η εταιρεία. Αυτό σημαίνει ότι το σύστημα σύνδεσης του Dropbox πιθανότατα θα επιβάλλει τη χρήση από κλειδιά ασφαλείας που βασίζονται σε hardware, τα οποία μπορούν να αποτρέψουν αποτελεσματικά επιθέσεις phishing.