Er is een deel van het cloud hostingbedrijf Dropbox’ broncode gestolen na een phishing aanval op de medewerkers. Opgeslagen gegevens van klanten zijn nog steeds veilig, net als de inloggegevens en betalingsinformatie van deze klanten. Wel zijn er enkele duizenden namen en e-mailadressen van (ex)-klanten, medewerkers en samenwerkende partijen gelekt. Dat maakte Dropbox bekend in een blog.
Phishing mails
De aanval vond plaats op 14 oktober 2022. Softwareontwikkelaars ontvingen een phishing e-mail die afkomstig leek van CircleCI. Dit is een populair developer platform om software met GitHub te integreren. In de mail stond dat de medewerker opnieuw moest inloggen bij GitHub om de geüpdatete algemene voorwaarden te accepteren. De link in de mail leidde echter naar een namaak website waarmee een hacker toegang kreeg tot de inloggegevens.
Niet alleen de inloggegevens van de medewerker werden op deze manier buit gemaakt. Als tweestapsverificatie was ingeschakeld, kon de hacker in real-time meekijken wat de verificatiecode was. Zo kon deze direct zelf inloggen op het account van de medewerker. Op deze manier wist de aanvaller 130 repositories met broncode te kopiëren. Het ging hierbij vooral om API-keys van ontwikkelaars, interne prototypes en tools en configuratiebestanden van het Dropbox-securityteams. Daarnaast zijn er namen en e-mailadressen gelekt.
Reactie Dropbox
Op dezelfde dag van de hack kreeg Dropbox het in de gaten. Het account waarop de hacker actief was, werd direct gedeactiveerd. Dropbox’ beveiligingsteam zorgde er ook voor dat inloggegevens van de medewerkers opnieuw ingesteld werden. Ook huurde Dropbox een derde partij in om te controleren dat er geen belangrijke of privacygevoelige informatie was gestolen.
Een andere maatregel die Dropbox treft is om een nieuw type multi-factorauthenticatie (MFA) te implementeren. Veel bedrijven, en ook Dropbox, gebruikte nog een minder veilige vorm van MFA. Voorbeelden van deze niet-optimale MFA-mogelijkheden zijn push notificaties, one-time passwords en time-based one-time passwords. Dropbox stapt nu over naar de gouden standaard in MFA: WebAuth. Bij WebAuth kunnen biometrische gegevens, zoals vingerafdrukken, gebruikt worden als tweede inlogmethode. Ook werkt het met hardware tokens, dus een penning die je fysiek bij je moet hebben.
GitHub waarschuwde al eerder
Afgelopen september waarschuwde GitHub al voor de phishing campagne. Deze werd door het softwareplatform al op 16 september ontdekt. Het ging hier ook al om e-mails die zich voordeden als berichten van CircleCI. De hackers konden niet gemakkelijk gevonden worden, omdat ze gebruikmaakten van VPN’s en proxyservices.
Als het slachtoffer van de hack een management account was, dan maakte de hacker zelfs nieuwe gebruiksaccounts voor zichzelf aan. Zo konden ze hun gang blijven gaan, ook als de inloggegevens van het originele slachtoffer werden veranderd. Accounts die verdacht waren heeft GitHub toen direct geblokkeerd. Ook heeft iedereen waarvan het platform denkt dat hij/zij slachtoffer is geworden een melding gekregen om zijn accountgegevens te wijzigen.
