Violação do Dropbox: hackers acessaram 130 repositórios de código-fonte do GitHub sem autorização.

O serviço de hospedagem de arquivos Dropbox divulgou na terça-feira que foi vítima de uma campanha de phishing que permitiu que agentes de ameaças não identificados obtivessem acesso não autorizado a 130 de seus repositórios de código-fonte no GitHub.

“Esses repositórios incluíam nossas próprias cópias de bibliotecas de terceiros levemente modificadas para uso pelo Dropbox, protótipos internos e algumas ferramentas e arquivos de configuração usados ​​pela equipe de segurança”, revelou a empresa em um comunicado.

A violação resultou no acesso de algumas chaves de API usadas pelos desenvolvedores do Dropbox, bem como “alguns milhares de nomes e endereços de e-mail pertencentes a funcionários do Dropbox, clientes atuais e anteriores, líderes de vendas e fornecedores”.

No entanto, enfatizou que os repositórios não continham código-fonte relacionado a seus principais aplicativos ou infraestrutura.

O Dropbox, que oferece serviços de armazenamento em nuvem, backup de dados e assinatura de documentos, entre outros, tem mais de 17,37 milhões de usuários pagantes e 700 milhões de usuários registrados em agosto de 2022 .

A divulgação ocorre mais de um mês depois que o GitHub e o CircleCI alertaram sobre ataques de phishing projetados para roubar credenciais do GitHub por meio de notificações falsas que supostamente são da plataforma CI/CD.

A empresa com sede em São Francisco observou que “vários usuários do Dropbox receberam e-mails de phishing representando a CircleCI” no início de outubro, alguns dos quais escaparam de seus filtros de spam automatizados para chegar às caixas de entrada de e-mail dos funcionários.

“Esses e-mails de aparência legítima direcionavam os funcionários a visitar uma página de login falsa do CircleCI, inserir seu nome de usuário e senha do GitHub e, em seguida, usar sua chave de autenticação de hardware para passar uma senha única (OTP) para o site malicioso”, explicou o Dropbox.

A empresa não revelou quantos de seus funcionários caíram no ataque de phishing, mas disse que tomou medidas imediatas para alternar todas as credenciais de desenvolvedor expostas e que alertou as autoridades policiais.

Ele também disse que não encontrou evidências de que nenhum dado do cliente foi roubado como resultado do incidente, acrescentando que está atualizando seus sistemas de autenticação de dois fatores para oferecer suporte a chaves de segurança de hardware para resistência a phishing.

“Mesmo o profissional mais cético e vigilante pode ser vítima de uma mensagem cuidadosamente elaborada, entregue da maneira certa e na hora certa”, concluiu a empresa. “É precisamente por isso que o phishing continua tão eficaz.”

A notificação do Dropbox também vem como orientação publicada pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) para implementar a autenticação multifator resistente a phishing (MFA) para proteção contra phishing e outras ameaças cibernéticas conhecidas.

“Se uma organização que usa MFA móvel baseada em notificação por push não consegue implementar MFA resistente a phishing, a CISA recomenda o uso de correspondência de números para mitigar a fadiga do MFA “, disse a agência .