Dịch vụ lưu trữ tệp Dropbox hôm thứ Ba đã tiết lộ rằng họ là nạn nhân của một chiến dịch lừa đảo cho phép các kẻ đe dọa không xác định truy cập trái phép vào 130 kho mã nguồn của nó trên GitHub.
“Các kho này bao gồm các bản sao của thư viện bên thứ ba được sửa đổi một chút để Dropbox sử dụng, các nguyên mẫu nội bộ và một số công cụ cũng như tệp cấu hình được nhóm bảo mật sử dụng”, công ty tiết lộ trong một lời khuyên.
Vi phạm đã dẫn đến việc truy cập vào một số khóa API được sử dụng bởi các nhà phát triển Dropbox cũng như “một vài nghìn tên và địa chỉ email thuộc về nhân viên Dropbox, khách hàng hiện tại và trước đây, đầu mối bán hàng và nhà cung cấp.”
Tuy nhiên, nó nhấn mạnh rằng các kho không chứa mã nguồn liên quan đến các ứng dụng hoặc cơ sở hạ tầng cốt lõi của nó.
Dropbox, cung cấp dịch vụ lưu trữ đám mây, sao lưu dữ liệu và ký tài liệu, trong số những dịch vụ khác, có hơn 17,37 triệu người dùng trả phí và 700 triệu người dùng đăng ký tính đến tháng 8 năm 2022.
Tiết lộ được đưa ra hơn một tháng sau khi cả GitHub và CircleCI cảnh báo về các cuộc tấn công lừa đảo được thiết kế để đánh cắp thông tin đăng nhập GitHub thông qua các thông báo giả mạo từ nền tảng CI / CD.
Công ty có trụ sở tại San Francisco lưu ý rằng “nhiều Dropboxer đã nhận được email lừa đảo mạo danh CircleCI” vào đầu tháng 10, một số trong số đó đã vượt qua bộ lọc thư rác tự động để đến hộp thư đến email của nhân viên.
Dropbox giải thích: “Những email trông có vẻ hợp pháp này đã hướng nhân viên truy cập trang đăng nhập CircleCI giả, nhập tên người dùng và mật khẩu GitHub, sau đó sử dụng khóa xác thực phần cứng của họ để chuyển Mật khẩu dùng một lần (OTP) đến trang web độc hại”, Dropbox giải thích.
Công ty không tiết lộ có bao nhiêu nhân viên của mình đã rơi vì cuộc tấn công lừa đảo, nhưng cho biết họ đã có hành động nhanh chóng để thay đổi tất cả thông tin đăng nhập của nhà phát triển bị lộ và đã cảnh báo cho các cơ quan thực thi pháp luật.
Họ cũng cho biết họ không tìm thấy bằng chứng cho thấy bất kỳ dữ liệu khách hàng nào bị đánh cắp do hậu quả của sự cố, thêm vào đó họ đang nâng cấp hệ thống xác thực hai yếu tố để hỗ trợ khóa bảo mật phần cứng chống lừa đảo.
Công ty kết luận: “Ngay cả những chuyên gia hoài nghi, cảnh giác nhất cũng có thể trở thành mồi ngon của một thông điệp được xây dựng cẩn thận, đúng cách vào đúng thời điểm”. “Đây chính là lý do tại sao lừa đảo vẫn hoạt động hiệu quả.”
Thông báo Dropbox cũng được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) công bố hướng dẫn triển khai xác thực đa yếu tố chống lừa đảo (MFA) để bảo vệ chống lại lừa đảo và các mối đe dọa mạng đã biết khác.
“Nếu một tổ chức sử dụng MFA dựa trên thông báo đẩy trên thiết bị di động không thể triển khai MFA chống lừa đảo, CISA khuyến nghị sử dụng đối sánh số để giảm thiểu sự mệt mỏi của MFA”, cơ quan này cho biết.
