De Indiase tech-startup DeepSource, die bedrijven een oplossing biedt voor het automatisch analyseren van code op fouten, heeft alle gebruikerstokens, client secrets en private keys en inloggegevens en keys van werknemers gereset nadat een medewerker in een phishingmail was getrapt.

Dat heeft het bedrijf zelf bekendgemaakt. DeepSource, dat claimt Intel, Uber, Slack en NASA als klant te hebben, werd op 11 juli door ontwikkelaarsplatform GitHub geïnformeerd dat er halverwege juni verdachte activiteit voor verschillende DeepSource-gebruikers was waargenomen. Daarop besloot DeepSource alle gebruikertokens, client secrets en private keys te resetten, alsmede de inloggegevens en keys van medewerkers die toegang tot productiesystemen hadden.

Op 16 juli ontving DeepSource meer informatie van GitHub dat het GitHub-account van een medewerker was gecompromitteerd. Het ging om een phishingaanval waar GitHub voor het eerst in april had gewaarschuwd. De aanval begint met een phishingmail waarin wordt gesteld dat er verdachte activiteit met het GitHub-account van de gebruiker is gedetecteerd.

De link om deze activiteit te controleren wijst naar een phishingpagina, die op de inlogpagina van Github lijkt. Ingevoerde gebruikersnamen en wachtwoorden worden door de website naar de aanvallers gestuurd. Wanneer een gebruiker TOTP-gebaseerde tweefactorauthenticatie heeft ingeschakeld zal de phishingpagina hier ook om vragen en ingevoerde TOTP-codes in real-time naar de aanvaller doorsturen. Die kan zo op het account inloggen.

Zo kreeg de aanvaller toegang tot de GitHub-inloggegevens van DeepSource. Via DeepSource kunnen bedrijven onder andere hun GitHub-repositories laten controleren. Door de gecompromitteerde inloggegevens heeft de aanvaller mogelijk toegang tot die respositories gekregen. GitHub zal getroffen gebruikers van DeepSource waarschuwen, aangezien het deze informatie niet met het bedrijf deelt. Daarnaast heeft DeepSource zelf ook klanten geïnformeerd.