Dropbox, le fournisseur de stockage en nuage, a annoncé (s’ouvre dans un nouvel onglet) il a été la cible d’une attaque de phishing qui a réussi à accéder à ses dépôts GitHub privés. GitHub a pu informer rapidement Dropbox de l’attaque, et aucune donnée client ou mot de passe n’a été affecté.
La violation de données a eu lieu le 13 octobre, Dropbox s’étant rendu compte que les choses n’allaient pas le lendemain. Les attaquants se sont fait passer pour la plate-forme d’intégration et de diffusion CircleCI à laquelle il est possible de se connecter à l’aide des informations d’identification GitHub, bombardant le personnel de Dropbox avec des e-mails de phishing réalistes. Beaucoup d’entre eux ont été bloqués par les systèmes internes de Dropbox, mais certains ont réussi – assez, semble-t-il, pour qu’au moins un employé visite une fausse page de connexion CircleCI, entre ses informations d’identification GitHub et utilise une clé d’authentification matérielle pour passer un temps mot de passe du site malveillant.
Cela a permis à l’attaquant d’accéder à la zone Github privée de Dropbox, à partir de laquelle il a copié 130 référentiels de code. Les données consultées incluent, selon la déclaration de Dropbox : « … certaines informations d’identification, principalement des clés API, utilisées par les développeurs de Dropbox. [It] incluaient également quelques milliers de noms et d’adresses e-mail appartenant aux employés de Dropbox, aux clients actuels et passés, aux prospects et aux fournisseurs. Puis plus tard : « Ces référentiels comprenaient nos propres copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l’équipe de sécurité. Surtout, ils n’incluaient pas de code pour nos applications ou notre infrastructure de base. L’accès à ces référentiels est encore plus limité et strictement contrôlé.
En septembre, GitHub avait averti ses utilisateurs (s’ouvre dans un nouvel onglet) dans un article de blog sur les attaques ciblant CircleCI, notant que « Si l’acteur de la menace réussit à voler les informations d’identification du compte utilisateur GitHub, il peut rapidement créer des jetons d’accès personnel GitHub (PAT), autoriser les applications OAuth ou ajouter des clés SSH au compte afin de préserver l’accès au cas où l’utilisateur changerait son mot de passe.
Dropbox a pu couper l’accès des attaquants le jour même où il a découvert l’intrusion et estime que le risque pour les clients est minime. La société met également à niveau sa méthode d’authentification multifacteur vers WebAuthn, un changement déjà en cours lorsque l’attaque s’est produite.