Kimlik avı saldırısında güvenliği ihlal edilen Dropbox kodu

Bulut depolama hizmeti Dropbox, bir tehdit aktörünün GitHub hesaplarından birine erişmek ve kod ve verileri tehlikeye atmak için kod entegrasyonu ve dağıtım platformu CircleCI’nin kimliğine büründüğü bir kimlik avı kampanyasıyla nasıl başarılı bir şekilde hedeflendiğinin ayrıntılarını paylaşıyor.

Erişilen bilgiler, Dropbox geliştiricileri tarafından kullanılan API anahtarlarını ve çok sınırlı sayıda çalışanın, müşterinin, satış liderinin ve satıcının adları ve e-posta adresleri dahil olmak üzere binlerce olarak tanımlanan verileri içeriyordu.

GitHub daha önce, tehdit aktörlerinin kimlik avı yemlerinde CircleCI kimliğine büründüğü benzer bir kimlik avı kampanyasına karşı uyarıda bulunmuştu.

Bir Dropbox sözcüsü, “Hiç kimsenin içeriğine, şifrelerine veya ödeme bilgilerine erişilmedi ve sorun hızla çözüldü” dedi. “Bu koda erişim daha da sınırlı ve sıkı bir şekilde kontrol edildiğinden, temel uygulamalarımız ve altyapımız da etkilenmedi.

“Müşterilere yönelik riskin minimum olduğuna inanıyoruz. Bu tehdit aktörü hiçbir zaman kimsenin Dropbox hesabının içeriğine, şifresine veya ödeme bilgilerine erişemedi.”

Firma şunları ekledi: “Müşterilerimizin, ortaklarımızın ve çalışanlarımızın gizliliğini koruma taahhüdümüzü ciddiye alıyoruz ve onlar için herhangi bir riskin minimum olduğuna inansak da, etkilenenleri bilgilendirdik.”

İhlal, Ekim ayının ortalarında, Dropbox tarafından “seçilmiş dahili dağıtımlar” için kullanılan CircleCI’den gelen bir dizi “Dropboxer” e-postası aldığında ortaya çıktı. Bu e-postaların bazıları ele geçirildi ve karantinaya alındı, ancak diğerleri Dropbox’ın siber ağından geçti.

E-postalar, alıcılarını sahte bir CircleCI giriş sayfasını ziyaret etmeye, GitHub kullanıcı adlarını ve şifrelerini girmeye ve ardından kötü amaçlı siteye bir kerelik şifre iletmek için donanım kimlik doğrulama anahtarlarını kullanmaya yönlendirdi. Bir durumda, tehdit aktörü başarılı oldu ve oradan 130 kod deposunu kopyalayabildi.

GitHub, 14 Ekim’de Dropbox’ı uyardı ve tehdit aktörü aynı gün atıldı, ardından Dropbox’ın güvenlik ekibi, açıkta kalan kimlik bilgilerini döndürmek ve hangi verilere erişildiğini belirlemek için hızlı bir şekilde harekete geçti.

Bugüne kadar, üçüncü taraf bir siber adli tıp ekibinin desteğiyle yürütülen soruşturmalar ve izleme, açığa çıkan verilerin başarılı bir şekilde kötüye kullanıldığına dair hiçbir kanıt bulamadı.

Firma, “İnsanların her kimlik avı cazibesini tespit etmesinin imkansız olduğunu biliyoruz” dedi. “Birçok insan için bağlantıları tıklamak ve ekleri açmak işlerinin temel bir parçasıdır. En şüpheci, uyanık profesyonel bile, doğru zamanda doğru şekilde iletilmiş, özenle hazırlanmış bir mesajın tuzağına düşebilir. Kimlik avının bu kadar etkili olmasının ve teknik kontrollerin bu tür saldırılara karşı en iyi korumanın olmasının nedeni tam olarak budur. Tehditler daha karmaşık hale geldikçe, bu kontroller daha önemli hale gelir.

“Güvenlik ekiplerimiz, Dropbox’ı müşterilerimizin güvenine layık kılmak için yorulmadan çalışıyor. Bu tehdit aktörünün eriştiği bilgiler sınırlı olsa da, kendimizi daha yüksek bir standartta tutuyoruz. Eksik kaldığımız için üzgünüz ve verdiğimiz rahatsızlıktan dolayı özür dileriz.”

Siber saldırının bir sonucu olarak, Dropbox’ın artık çok faktörlü kimlik doğrulamanın (MFA) “altın standardı” olarak tanımladığı WebAuthn’u kimlik bilgisi yönetimi için benimsemesini öne çıkardığı anlaşılıyor. Saldırıdan önce WebAuthn MFA’yı benimsemeye başlamıştı ve istenirse müşterilere sunuyor.

Outpost24 güvenlik şefi Martin Jartelius, “Diğer güvenlik önlemleri iyileşirken etkili ve ucuz kalırken, kimlik avı bilgisayar korsanları arasında popülaritesini artırmaya devam ediyor” dedi.

“Parola yöneticisinin eşleşen bir etki alanına sahip olmayacağı ve bu nedenle kimlik avı durumlarında bir parola göndermeyeceği tarayıcıya entegre edilmiş parola yöneticilerinin kullanılması veya doğrulama yapan YubiKey’lerin kullanılması da dahil olmak üzere, bu belirli tehditleri atlatmak için yapılabilecek bazı şeyler var. aynı etkiye sahip ikinci faktör için sitenin kimliği iddiası.”

Jartelius şunları ekledi: “Burada olumlu olan şey, etkilenen kullanıcının kuruluştaki çoğu geliştiricinin kullanımına sunulan depolara erişimi olmasına rağmen, buna temel ürün havuzlarını içermemesidir. Daha az önemli olan kısım, hem personelin hem de iş ortağının kişisel verilerinin git depolarında saklanmasıdır. Umarım, bu yalnızca geliştiricilerle ilgili iletişim bilgileriyle ilgilidir, ancak yayınlanan bilgilerden bu tamamen net değildir.”

Cybereason’ın güvenlik şefi Sam Curry, Dropbox’ın “süper veri toplayıcı” olarak nihai rolünün, onu tehdit aktörleri için çekici ve potansiyel olarak oldukça kazançlı bir hedef haline getirdiğini ve bunun da Dropbox’a kendisini saldırıyı daha zor hale getirme sorumluluğunu yüklediğini söyledi.

Curry, “Güvenliği daha iyi yapsalar bile, kurban olmamak için büyüklükleri ve gelirleri açısından normal bir şirketten çok daha iyi yapmak zorundalar” dedi.

“Dışarıdan bakıldığında Dropbox’ın kendi zayıflıklarını bildiği ve kimlik güvenliğini iyileştirmek ve kimlik doğrulama ve yetkilendirmeyi güçlendirmek için hızlandırdıkları planlara sahip olduğu görülüyor.

“Tavsiyem, devam etmek, tek hata noktalarını aramak, olaydan sonra olabildiğince şeffaf olmak, risk değerlendirmelerini güncellemek, bu dersleri öğrenmek, her şeyden önce müşteriler ve ortaklarla hareket etmeye devam etmektir. Tarih sizi bir kahraman ya da kötü adam olarak görecek, asla kurban olmayacak, bu yüzden kahraman olmaya karar verin.”

Read Previous

Gölge dijital sekreteri, İşçi’nin teknik önceliklerini özetliyor

Read Next

Yetenek kıtlığı nedeniyle geride kalan işletmelerin neredeyse %70’i

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

organik hit - iş fikirleri -