近日，Dropbox披露了一個安全漏洞，網路攻擊者利用在一次網路釣魚攻擊中竊取的員工憑據訪問了Dropbox的一個GitHub賬戶，隨後竊取了130個程式碼庫。

10月14日，GitHub通知該公司在警報傳送前一天開始的可疑活動時，該公司發現攻擊者入侵了該賬戶。

Dropbox週二透露:“到目前為止調查發現，這個威脅者訪問的程式碼包含了Dropbox開發者使用的一些憑證，主要是API金鑰。”

“這些程式碼和相關資料還包括Dropbox員工、現在和過去的客戶、銷售主管和供應商的幾千個姓名和電子郵件地址(Dropbox擁有7億多註冊使用者)。”

這次成功的入侵源於一次網路釣魚攻擊，該攻擊針對多名Dropbox員工，使用冒充CircleCI持續整合和交付平臺的電子郵件，將他們重定向到一個網路釣魚登陸頁面，要求他們在那裡輸入GitHub使用者名稱和密碼。

在同一個釣魚頁面上，這些員工還被要求“使用硬體身份驗證金鑰傳遞一次性密碼(OTP)”。

在竊取了Dropbox憑據後，攻擊者獲得了Dropbox的一個GitHub組織的訪問許可權，並竊取了其130個程式碼儲存庫。

該公司補充說:“這些儲存庫包括我們自己的第三方庫副本，為Dropbox使用進行了輕微修改，內部原型，以及安全團隊使用的一些工具和配置檔案。”

“重要的是，它們不包括我們核心應用程式或基礎設施的程式碼。對這些儲存庫的訪問甚至受到更嚴格的限制和控制。”

Dropbox補充說，攻擊者從未接觸到客戶的賬戶、密碼或支付資訊，其核心應用程式和基礎設施沒有受到影響。

為了應對該事件，Dropbox正在努力使用網路認證和硬體令牌或生物特徵因子來保護其整個環境。

今年9月，其他GitHub使用者也遭到了冒充CircleCI平臺的類似攻擊，要求他們登入自己的GitHub賬戶，接受使用者條款和隱私政策更新，以繼續使用該服務。

“雖然GitHub本身沒有受到影響，但這場運動影響了許多受害組織，”GitHub當時在一份公告中表示。

GitHub表示，在洩露事件發生後，它幾乎立刻就發現了從私有儲存庫中洩露內容的行為，威脅行為者使用VPN或代理服務，這使得追蹤他們更加困難。

資料洩露通常為企業帶來嚴重的經濟損失和聲譽損失，企業需要採取措施來保護資料安全。

尚未遭到資料洩露的企業不應該存有僥倖之心，提前做好資料洩露詳細的防禦措施和響應計劃，按照上述提到的步驟完善企業資料安全防禦系統，有助於降低資料洩露風險，並在發生資料洩露時限制損失，幫助公司處理後續事宜。

來源：

駭客竊取了130個GitHub儲存庫後，Dropbox披露了漏洞

相關文章