Pazartesi gecesi geç saatlerde, popüler dosya barındırma sitesi Dropbox ilan edildi bir phishing saldırısına uğradığını söyledi. Hiçbir içeriğe, parolaya veya ödeme bilgisine erişilmezken, bilgisayar korsanı “kodların bir kısmına başarıyla erişti” [they] GitHub’da saklayın”.
Şirket, 14 Ekim’de bir saldırganın çalışan kimlik bilgilerini çaldığını ve bunları “öncelikle Dropbox geliştiricileri tarafından kullanılan API anahtarlarını” içeren kaynak koduna erişmek için kullandığını fark ettiklerini açıkladı. Şu anda bu API anahtarlarının ne için kullanıldığı belli olmasa da Dropbox, varlıklarını düzgün bir şekilde güvenceye almadıkları için API uzmanlarından eleştiriler aldı.
“Uygulama geliştiricileri tarafından kullanılan statik API anahtarları ve diğer önemli kimlik bilgileri bir şekilde güvence altına alınmalı ve herhangi bir atıl uygulama kaynak kodunun parçası olarak düz metin olarak saklanmamalıdır. Veri şifreleme veya güvenli bir veri kasasından yararlanma, iki yaygın ve daha güvenli alternatif sunar. Dropbox ihlali, kuruluşların kaynak kodu havuzlarını düz metin olarak saklanan (API anahtarları, şifreler vb.) kimlik bilgilerini aramak için taramaları için iyi bir hatırlatma görevi görür. . Ek olarak, bu tür bir tehdit, kuruluşların neden bir API anahtarının güvenliği ihlal edilmişse ve bir API saldırısında kullanılmışsa API kötüye kullanımını tespit edip önleyebilen çalışma zamanı API güvenliğine ihtiyaç duyduğunu göstermektedir” dedi. Tuz Güvenliğilider bir API güvenlik sağlayıcısı
Martin Jartelius, Baş Güvenlik Görevlisi karakol24, Dropbox’ın müşteri verilerini kaybetmediği için şanslı olmasına rağmen, çok daha kötü olabileceğine dikkat çekti. “Burada olumlu olan şey, etkilenen kullanıcının kuruluştaki çoğu geliştiricinin kullanımına sunulan depolara erişimi olmasına rağmen, buna temel ürün havuzlarını içermemesidir. Daha az önemli olan kısım, hem personelin hem de iş ortağının kişisel verilerinin git depolarında saklanmasıdır, umarım bu yalnızca geliştiricilerle ilgili iletişim bilgileriyle ilgilidir, ancak yayınlanan bilgilerden bu tamamen net değildir” dedi.
Diğer uzmanlar, oltalamanın oldukça ilkel bir saldırı yöntemi olarak görülmesine rağmen, bilgisayar korsanları arasında popüler bir teknik olduğunu hemen fark ettiler. “Bilgisayar korsanlarının izlenimi, genellikle savunma önlemlerinin üstesinden gelmek için parlak saldırı yöntemleri ve gelişmiş araçlar kullanan teknik dehalara ait olsa da, gerçek bundan çok uzak. Bu vaka gibi siber olayların çoğu, önlenebilir insan hatasından veya çalıntı kimlik bilgileri veya Kimlik Avı gibi basit saldırı yöntemlerinden kaynaklanıyor” dedi. teselli.
Javvad Malik, lider güvenlik bilinci savunucusu BilBe4, bunun tehdit aktörlerinin MFA’yı atlamak için yeni yollar bulmasına bir örnek olduğuna dikkat çekti. “MFA’nın benimsenmesinin popülaritesi arttıkça, suçluların, kullanıcıları giderek daha karmaşık yollarla kandırarak MFA kontrollerini atlamak için yöntemlerini uyarladığını görüyoruz. Bu nedenle, sosyal mühendislik saldırılarının başarılı olma olasılığının daha düşük olması için kimlik avına dayanıklı MFA şiddetle tavsiye edilir. Teknoloji açısından bakıldığında, bu kimlik avına karşı koruma ilkesi, MFA’nın ötesinde ve bir insanın etkileşimde bulunduğu herhangi bir sistem veya süreç için geçerlidir. Nihayetinde, sosyal mühendislik insanları kandırmakla ilgilidir ve bu nedenle, mevcut tehditleri anlamalarına yardımcı olmak için zamanında ve uygun kullanıcı bilincinin ve eğitiminin önemini, onları nasıl tanımlayacaklarını ve herhangi bir şüpheli etkinliği nasıl bildireceklerini göz ardı edemeyiz.” dedi.
Dropbox’ın güvenlik önlemleri eleştirilirken, şirketin saldırıya verdiği yanıt alkışlandı. “Dışarıdan bakıldığında Dropbox’ın kendi zayıflıklarını bildiği ve kimlik güvenliğini iyileştirmek ve kimlik doğrulama ve yetkilendirmeyi güçlendirmek için hızlandırdıkları planları olduğu görülüyor. Tavsiyem, devam etmek, tek hata noktalarını aramak, olayı yayınlayabildiğiniz kadar şeffaf olmak, NDA kapsamında olsa bile harici danışmanlar için olay sonrası gibi, risk değerlendirmelerini güncellemek, bu dersleri öğrenmek, müşterilerle hareket etmeye devam etmek ve ortaklar her şeyden önce akılda. Tarih sizi bir kahraman ya da kötü adam olarak görecek, asla kurban olmayacak, bu yüzden kahraman olmaya karar verin” dedi. siber mevsim.