Broncode Dropbox en data klanten en personeel gestolen via phishingaanval

Aanvallers zijn erin geslaagd om via een phishingaanval broncode van Dropbox te stelen, alsmede gegevens van klanten, medewerkers en leveranciers. De phishingaanval bestond uit een e-mail die afkomstig leek van CircleCI, een populair devops-platform gebruikt voor softwareontwikkeling dat met GitHub is te integreren. Net als veel andere bedrijven maakt Dropbox gebruik van softwareontwikkelingsplatform GitHub en heeft daar ook allerlei broncode opgeslagen.

Volgens de phishingmail moest de ontvanger op GitHub inloggen om de nieuwe algemene voorwaarden te accepteren. De link in het bericht wees echter naar een phishingpagina. Deze pagina probeerde niet alleen de inloggegevens van GitHub-gebruikers te bemachtigen, maar in het geval ze 2FA hebben ingeschakeld ook hun 2FA-codes in real-time. Zo wist de aanvaller toegang tot de GitHub-omgeving van Dropbox te krijgen en kopieerde 130 repositories met broncode en andere software.

Het ging onder andere om API-keys van ontwikkelaars, aangepaste third-party libraries waar Dropbox gebruik van maakt, interne prototypes en sommige tools en configuratiebestanden van het Dropbox-securityteam. Ook zijn namen en e-mailadressen van medewerkers, huidige klanten, ex-klanten en leveranciers in handen van de aanvaller gekomen. Dropbox benadrukt dat er geen broncode van de primaire apps en infrastructuur is bemachtigd. Toegang tot deze repositories is beter afgeschermd, aldus de opslagdienst. Tevens zijn de inhoud van Dropbox-accounts en wachtwoorden en betaalgegevens van gebruikers niet gecompromitteerd. Eind september waarschuwde GitHub al voor dergelijke phishingaanvallen.

Na een oproep van de Amerikaanse overheid om “phishingbestendige multifactorauthenticatie” (MFA) te gebruiken stelt ook Dropbox dat niet alle MFA gelijk is en sommige kwetsbaarder is voor phishing dan anderen. “Veel organisaties vertrouwen nog op minder veilige versies van MFA, zoals pushnotificaties, one-time passwords en time-based one-time passwords – WebAuthn is op dit moment de gouden standaard”, aldus de opslagdienst. Die zegt dat het al bezig was met de uitrol van meer phishingbestendige MFA en dat binnenkort de gehele Dropbox-omgeving met hardwarematige tokens en biometrische factoren is beveiligd.

Image

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl