Broncode Dropbox en data klanten en personeel gestolen via phishingaanval
Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers. De phishingaanval bestond uit een e-mail die afkomstig leek van CircleCI, een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Net als veel andere bedrijven maakt Dropbox gebruik van softwareontwikkelingsplatform GitHub en heeft daar ook allerlei broncode opgeslagen.
Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wees echter naar een phishingpagina. Deze pagina probeerde niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software.
Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen. Dropbox benadrukt dat er geen broncode van de primaire apps en infrastructuur is bemachtigd. Toegang tot deze repositories is beter afgeschermd, aldus de opslagdienst. Tevens zijn de inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd. Eind september waarschuwde GitHub al voor dergelijke phishingaanvallen.
Na een oproep van de Amerikaanse overheid om "phishingbestendige multifactorauthenticatie" (MFA) te gebruiken stelt ook Dropbox dat niet alle MFA gelijk is en sommige kwetsbaarder is voor phishing dan anderen. "Veel organisaties vertrouwen nog op minder veilige versies van MFA, zoals pushnotificaties, one-time passwords en time-based one-time passwords - WebAuthn is op dit moment de gouden standaard", aldus de opslagdienst. Die zegt dat het al bezig was met de uitrol van meer phishingbestendige MFA en dat binnenkort de gehele Dropbox-omgeving met hardwarematige tokens en biometrische factoren is beveiligd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.