Dosya barındırma hizmeti Dropbox Salı günü, kimliği belirsiz tehdit aktörlerinin GitHub’daki 130 kaynak kodu deposuna yetkisiz erişim sağlamasına izin veren bir kimlik avı kampanyasının kurbanı olduğunu açıkladı.
Şirket, bir danışma belgesinde “Bu depolar, Dropbox tarafından kullanılmak üzere hafifçe değiştirilmiş üçüncü taraf kitaplıklarımızın kendi kopyalarını, dahili prototipleri ve güvenlik ekibi tarafından kullanılan bazı araçları ve yapılandırma dosyalarını içeriyordu” dedi.
İhlal, Dropbox geliştiricileri tarafından kullanılan bazı API anahtarlarının yanı sıra “Dropbox çalışanlarına, mevcut ve geçmiş müşterilere, satış liderlerine ve satıcılara ait birkaç bin ad ve e-posta adresine” erişimiyle sonuçlandı.
Bununla birlikte, depoların temel uygulamaları veya altyapısı ile ilgili kaynak kodu içermediğini vurguladı.
Diğerlerinin yanı sıra bulut depolama, veri yedekleme ve belge imzalama hizmetleri sunan Dropbox’ın Ağustos 2022 itibariyle 17.37 milyondan fazla ödeme yapan kullanıcısı ve 700 milyon kayıtlı kullanıcısı var.
Açıklama, hem GitHub hem de CircleCI’nin, CI/CD platformundan geldiği iddia edilen sahte bildirimler yoluyla GitHub kimlik bilgilerini çalmak için tasarlanmış kimlik avı saldırıları konusunda uyarmasından bir aydan fazla bir süre sonra geldi.
San Francisco merkezli firma, Ekim ayı başlarında “birden fazla Dropboxer’ın CircleCI’yi taklit eden kimlik avı e-postaları aldığını” ve bunların bir kısmının otomatik spam filtrelerinden geçerek çalışanların e-posta gelen kutularına düştüğünü belirtti.
Dropbox, “Bu meşru görünen e-postalar, çalışanları sahte bir CircleCI giriş sayfasını ziyaret etmeye, GitHub kullanıcı adlarını ve şifrelerini girmeye ve ardından kötü niyetli siteye Tek Kullanımlık Şifre (OTP) iletmek için donanım doğrulama anahtarlarını kullanmaya yönlendirdi” dedi.
Şirket, kaç çalışanının kimlik avı saldırısına düştüğünü açıklamadı, ancak açıkta kalan tüm geliştirici kimlik bilgilerini döndürmek için derhal harekete geçtiğini ve kolluk kuvvetlerini uyardığını söyledi.
Ayrıca, olay sonucunda herhangi bir müşteri verisinin çalındığına dair hiçbir kanıt bulunmadığını ve kimlik avına karşı koruma için donanım güvenlik anahtarlarını desteklemek için iki faktörlü kimlik doğrulama sistemlerini yükselttiğini de sözlerine ekledi.
Şirket, “En şüpheci, uyanık profesyonel bile, doğru zamanda doğru şekilde teslim edilen özenle hazırlanmış bir mesajın tuzağına düşebilir.” “Tam olarak bu yüzden kimlik avı bu kadar etkili kalıyor.”
Dropbox bildirimi ayrıca, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı’nın (CISA), kimlik avına ve diğer bilinen siber tehditlere karşı koruma sağlamak için kimlik avına dayanıklı çok faktörlü kimlik doğrulamayı (MFA) uygulamaya yönelik kılavuz yayınladığı sırada gelir.
Ajans, “Mobil anında iletme bildirimi tabanlı MFA kullanan bir kuruluş, kimlik avına dayanıklı MFA uygulayamazsa, CISA, MFA yorgunluğunu azaltmak için sayı eşleştirme kullanılmasını önerir.” Dedi.