Hackers hebben met een phishingaanval toegang gekregen tot een GitHub-account van Dropbox. Daardoor wisten de criminelen onder meer gemodificeerde third-party libraries, interne prototypes en beveiligingstools te stelen. Ook werd er data van duizenden gebruikers gestolen.
Bij de aanval kregen de criminelen toegang tot namen en e-mailadressen van duizenden huidige en voormalige klanten, werknemers, potentiƫle klanten en leveranciers. Relatief gezien is er volgens Dropbox weinig persoonlijke data gestolen, aangezien het platform 700 miljoen gebruikers zou hebben. Bestanden die gebruikers met Dropbox opslaan of delen, zijn bij de aanval niet gestolen. Ook zijn er geen wachtwoorden of betaalgegevens buitgemaakt. Getroffenen zijn inmiddels bericht.
Verder kregen de aanvallers toegang tot api-sleutels van Dropbox-ontwikkelaars en honderddertig code-repositories. Het gaat dan om onder meer eigen kopieĆ«n van third-party libraries die door Dropbox licht zijn aangepast, interne prototypes en ‘bepaalde tools en configuratiebestanden die het beveiligingsteam gebruiken’. Code voor kernapps of kerninfrastructuur zijn niet gestolen, benadrukt het bedrijf.
De criminelen kregen toegang door in oktober phishingmails te sturen naar meerdere Dropbox-medewerkers. In die mails deden de criminelen zich voor als CircleCI, een code integration– en delivery-platform. Gebruikers kunnen met hun GitHub-inloggegevens inloggen in CircleCI; daarom deden de hackers zich als dit platform voor. Een deel van de phishingmails werd door systemen van Dropbox automatisch geblokkeerd, maar een deel kwam wel in de inbox van werknemers.
Deze mails linkten naar een externe website die CircleCI’s website nabootst. Hier moesten de werknemers inloggen met hun GitHub-inloggegevens en met hun fysieke authenticatiesleutel een one-time-password doorgeven. De criminelen gebruikten deze gegevens om in te kunnen loggen op een van de GitHub-organisaties van Dropbox en zo de data te stelen.
Dropbox zegt de aanval te hebben gemeld bij de relevante autoriteiten en heeft zijn eigen bevindingen met forensische experts gecontroleerd. Het platform wil versneld overstappen naar WebAuthn en hoopt daarmee de kwetsbaarheid voor phishingaanvallen te beperken.
Recent Comments