Dropbox, tehdit aktörlerinin bir kimlik avı saldırısında çalınan çalışan kimlik bilgilerini kullanarak GitHub’daki 130 kaynak kodu deposuna yetkisiz erişim elde ettiği bir güvenlik ihlalini açıkladı.
Şirket, GitHub’ın uyarının gönderilmesinden bir gün önce başlayan şüpheli etkinliği bildirdiği 14 Ekim’de saldırganların hesabı ihlal ettiğini tespit etti.
Dropbox araştırmaları sonucunda, bu tehdit aktörü tarafından erişilen kodun, Dropbox geliştiricileri tarafından kullanılan bazı kimlik bilgilerini (öncelikle API anahtarlarını) içerdiğini bulduğunu belirtti.
Kod ve etrafındaki veriler, Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış adaylarına ve satıcılara ait birkaç bin kadar isim ve e-posta adresini de içeriyordu.
Diğer hizmetlerinin yanı sıra bulut depolama, veri yedekleme ve belge imzalama hizmetleri sunan Dropbox’ın 17.37 milyondan fazla ödeme yapan kullanıcısı ve 700 milyon kayıtlı kullanıcısı var.
İhlal, CircleCI sürekli entegrasyon ve dağıtım platformunu taklit eden e-postalar kullanan ve onları GitHub kullanıcı adlarını ve şifrelerini girmelerinin istendiği bir kimlik avı açılış sayfasına yönlendiren birden fazla Dropbox çalışanını hedef alan bir kimlik avı saldırısından kaynaklandı.
Aynı kimlik avı sayfasında, çalışanlardan “Tek Kullanımlık Parolaya (One Time Password, OTP) geçmek için donanım kimlik doğrulama anahtarlarını kullanmaları” da istendi.
Saldırganlar Dropboxer’ların kimlik bilgilerini çaldığında, Dropbox’ın GitHub kuruluşlarından birine erişim sağladılar ve 130 kod deposunu çaldılar.
Şirket, bu depoların Dropbox tarafından kullanılmak üzere biraz değiştirilmiş üçüncü taraf kitaplıklarının kendi kopyalarını, dahili prototipleri ve güvenlik ekibi tarafından kullanılan bazı araçları ve yapılandırma dosyalarını içerdiğini belirtti.
Ancak, temel uygulamaları veya altyapıları için kod eklemediler. Bu depolara erişim daha da sınırlıdır ve sıkı bir şekilde kontrol edilir.
Dropbox, saldırganların ihlalde müşterilerin hesaplarına, şifrelerine veya ödeme bilgilerine erişemediklerini de sözlerine ekledi.
Bu olayın bir sonucu olarak Dropbox, WebAuthn ve donanım belirteçleri (hardware token) veya biyometrik faktörler kullanarak tüm ortamının güvenliğini sağlamaya çalışıyor.
