به گزارش کارگروه بینالملل سایبربان؛ شرکت نرم افزاری دراپ باکس آمریکا (Dropbox) دچار سرقت اطلاعات شده؛ اما مدعی است نیازی به نگرانی کاربران وجود ندارد چرا که مهاجمان به حساب دراپ باکس، به رمز عبور یا اطلاعات پرداخت دسترسی ندارند. در عوض، آنها کدی را از 130 مخزن خصوصی این شرکت که در گیت هاب (GitHub) میزبانی شده بودند، به سرقت بردهاند.
چه چیزی به خطر افتاده است؟
مخازن هک شده حاوی "کپیهایی از کتابخانههای شخص ثالث هستند که برای استفاده توسط دراپ باکس کمی تغییر یافتهاند، نمونههای اولیه داخلی و برخی ابزارها و فایلهای پیکربندی که توسط تیم امنیتی استفاده میشود" - اما کدی برای برنامهها یا زیرساختهای اصلی دراپ باکس ندارند.
مهاجمان همچنین موارد زیر را نیز به سرقت بردهاند:
- کلیدهای API مورد استفاده توسعهدهندگان دراپ باکس
- چند هزار نام و آدرس ایمیل متعلق به کارمندان دراپ باکس، مشتریان فعلی و گذشته، سرنخهای فروش و فروشندگان
این شرکت ادعا کرده است که تیمهای امنیتی آنها فوراً برای هماهنگ کردن چرخش همه اعتبارنامههای توسعهدهنده لو رفته و تعیین اینکه چه دادههایی از مشتریان (در صورت وجود) دسترسی یا سرقت شده است، اقدام کردهاند. آنها همچنین گزارشهای خود را بررسی کردهاند و هیچ مدرکی دال بر سوءاستفاده موفق پیدا نکردهاند. برای اطمینان، آنها کارشناسان پزشکی قانونی خارجی را برای تأیید یافتههای خود استخدام کردهاند و این رویداد را به تنظیمکنندهها و مجریان قانون مربوطه گزارش کردهاند.
مهاجمان چگونه توانستند دسترسی پیدا کنند؟
مهاجمان با جعل هویت سِرکِل سی آی (CircleCI)، شرکتی که یک پلتفرم یکپارچهسازی و تحویل مداوم (CI/CD) را توسعه میدهد که توسط توسعهدهندگان دراپ باکس استفاده میشود، وارد شدهاند.
ازآنجاییکه دراپ باکسرها از اعتبار گیت هاب خود برای ورود به سِرکِل سی آی استفاده میکنند، به خطر انداختن این اعتبار به معنای به خطر انداختن حسابهای گیت هاب است.
این شرکت توضیح داده است که درحالیکه سیستمهای آنها بهطور خودکار برخی از این ایمیلها را قرنطینه میکنند، برخی دیگر در صندوقهای دریافتی دراپ باکسرها قرار میگیرند.
این ایمیلهای قانونی به کارمندان دستور میدهد تا از یک صفحه ورود به سیستم جعلی سِرکِل سی آی بازدید کنند، نام کاربری و رمز عبور گیت هاب خود را وارد کنند و سپس از کلید احراز هویت سختافزاری خود برای ارسال یک رمز عبور یکبارمصرف (OTP) به سایت مخرب استفاده کنند.
یک یا چند مورد از این تلاشها با موفقیت انجام شد و مهاجمان به یکی از سازمانهای گیت هاب دراپ باکس (و 130 مخزن کد خصوصی) دسترسی پیدا کردند.
بعد از این نقض داده چه اتفاقی برای دراپ باکس میافتد؟
گیت هاب اولین جایی بود که در 13 اکتبر متوجه رفتار مشکوک مربوط به حسابها و مخازن گیت هاب دراپ باکس شد. یک روز بعد، آنها به شرکت اطلاعرسانی کردند.
تیم امنیتی دراپ باکس نگفته است که آیا اعتبارنامهها در کمپین فیشینگ با نام تجاری سِرکِل سی آی که توسط گیت هاب در 16 سپتامبر مشاهدهشده به خطر افتاده است یا این موضوع به بعداً مربوط است.
بااینحال، این حادثه آنها را ترغیب کرده است تا تلاشهای خود را برای پذیرش احراز هویت وب (WebAuthn) تسریع کنند.
این تیم تأکید میکند که حتی بدبینترین و هشیارترین فرد حرفهای نیز میتواند طعمه پیامی شود که با دقت ساخته شده است که به روش درست در زمان مناسب ارائه میشود. این دقیقاً به همین دلیل است که فیشینگ تا این حد مؤثر باقی میماند و اینکه چرا کنترلهای فنی بهترین محافظت در برابر این نوع حملات باقی میمانند.
قبل از این حادثه، آنها قبلاً در حال اتخاذ این شکل مقاوم در برابر فیشینگ از احراز هویت چندعاملی بودهاند. بهزودی، کل محیط این شرکت توسط احراز هویت وب با توکن های سختافزاری یا فاکتورهای بیومتریک ایمن خواهد شد.
در اوایل سال جاری، Twilio و Cloudflare و بسیاری از سازمانهای دیگر با پیامهای فیشینگ جعل هویت و مدیریت دسترسی هدف قرار گرفتهاند. شرکتهای اوکتا و کلودفلیر از آن جان سالم به در بردهاند؛ زیرا کارمندان آنها از کلیدهای امنیتی فیزیکی برای ارائه دومین فاکتور احراز هویت استفاده میکردهاند.
