黑客竊取了130個(gè)GitHub存儲(chǔ)庫后，Dropbox披露了漏洞

近日，Dropbox披露了一個(gè)安全漏洞，網(wǎng)絡(luò)攻擊者利用在一次網(wǎng)絡(luò)釣魚攻擊中竊取的員工憑據(jù)訪問了Dropbox的一個(gè)GitHub賬戶，隨后竊取了130個(gè)代碼庫。

10月14日，GitHub通知該公司在警報(bào)發(fā)送前一天開始的可疑活動(dòng)時(shí)，該公司發(fā)現(xiàn)攻擊者入侵了該賬戶。

Dropbox周二透露:“到目前為止調(diào)查發(fā)現(xiàn)，這個(gè)威脅者訪問的代碼包含了Dropbox開發(fā)者使用的一些憑證，主要是API密鑰?！?/p>

“這些代碼和相關(guān)數(shù)據(jù)還包括Dropbox員工、現(xiàn)在和過去的客戶、銷售主管和供應(yīng)商的幾千個(gè)姓名和電子郵件地址(Dropbox擁有7億多注冊(cè)用戶)?！?/p>

這次成功的入侵源于一次網(wǎng)絡(luò)釣魚攻擊，該攻擊針對(duì)多名Dropbox員工，使用冒充CircleCI持續(xù)集成和交付平臺(tái)的電子郵件，將他們重定向到一個(gè)網(wǎng)絡(luò)釣魚登陸頁面，要求他們?cè)谀抢镙斎隚itHub用戶名和密碼。

在同一個(gè)釣魚頁面上，這些員工還被要求“使用硬件身份驗(yàn)證密鑰傳遞一次性密碼(OTP)”。

130個(gè)代碼存儲(chǔ)庫在入侵期間被盜

在竊取了Dropbox憑據(jù)后，攻擊者獲得了Dropbox的一個(gè)GitHub組織的訪問權(quán)限，并竊取了其130個(gè)代碼存儲(chǔ)庫。

該公司補(bǔ)充說:“這些存儲(chǔ)庫包括我們自己的第三方庫副本，為Dropbox使用進(jìn)行了輕微修改，內(nèi)部原型，以及安全團(tuán)隊(duì)使用的一些工具和配置文件?！?/p>

“重要的是，它們不包括我們核心應(yīng)用程序或基礎(chǔ)設(shè)施的代碼。對(duì)這些存儲(chǔ)庫的訪問甚至受到更嚴(yán)格的限制和控制。”

Dropbox補(bǔ)充說，攻擊者從未接觸到客戶的賬戶、密碼或支付信息，其核心應(yīng)用程序和基礎(chǔ)設(shè)施沒有受到影響。

為了應(yīng)對(duì)該事件，Dropbox正在努力使用網(wǎng)絡(luò)認(rèn)證和硬件令牌或生物特征因子來保護(hù)其整個(gè)環(huán)境。

今年9月，其他GitHub用戶也遭到了冒充CircleCI平臺(tái)的類似攻擊，要求他們登錄自己的GitHub賬戶，接受用戶條款和隱私政策更新，以繼續(xù)使用該服務(wù)。

“雖然GitHub本身沒有受到影響，但這場運(yùn)動(dòng)影響了許多受害組織，”GitHub當(dāng)時(shí)在一份公告中表示。

GitHub表示，在泄露事件發(fā)生后，它幾乎立刻就發(fā)現(xiàn)了從私有存儲(chǔ)庫中泄露內(nèi)容的行為，威脅行為者使用VPN或代理服務(wù)，這使得追蹤他們更加困難。

數(shù)據(jù)泄露通常為企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失和聲譽(yù)損失，企業(yè)需要采取措施來保護(hù)數(shù)據(jù)安全。

加強(qiáng)員工安全意識(shí)培訓(xùn)

審查和調(diào)整數(shù)據(jù)收集標(biāo)準(zhǔn)

最小化數(shù)據(jù)訪問權(quán)限

使用雙因素身份驗(yàn)證

加強(qiáng)軟件安全保護(hù)數(shù)據(jù)

制定數(shù)據(jù)泄露響應(yīng)計(jì)劃

尚未遭到數(shù)據(jù)泄露的企業(yè)不應(yīng)該存有僥幸之心，提前做好數(shù)據(jù)泄露詳細(xì)的防御措施和響應(yīng)計(jì)劃，按照上述提到的步驟完善企業(yè)數(shù)據(jù)安全防御系統(tǒng)，有助于降低數(shù)據(jù)泄露風(fēng)險(xiǎn)，并在發(fā)生數(shù)據(jù)泄露時(shí)限制損失，幫助公司處理后續(xù)事宜。

來源：

https://www.bleepingcomputer.com/news/security/dropbox-discloses-breach-after-hacker-stole-130-github-repositories/