A empresa Dropbox, voltada para hospedagem de dados, revelou ter sido vítima de uma campanha que permitiu que pessoas não autorizadas tivessem acesso a 130 GitHub repositórios de código fonte.
De acordo com a instituição, “nesses repositórios há cópias de biblioteca de terceiros modificados para serem usadas pelo Dropbox, protótipos internos, e ferramentas e arquivos de configuração usados pelo time de segurança.”
Apesar disso, os repositórios não possuíam os código fonte dos principais aplicativos e da infraestrutura do negócio.
A falha na segurança possibilitou que esses indivíduos encontrassem as chaves de API utilizadas pelos desenvolvedores da instituição. Também tiveram acesso a “milhares de nomes e endereço de e-mail dos colaboradores da Dropbox, tanto os antigos como os mais recentes, além dos líderes de vendas e os próprios vendedores.”
A empresa Dropbox é conhecida por ofertar espaço na nuvem, assinatura de documentos, backup de dados, entre outros serviços. Atualmente conta com mais de 17.37 milhões de assinantes e 700 milhões de clientes registrados desde agosto deste ano.
A informação aparece num momento onde GitHub e CircleCl avisaram sobre os ataques que pretendiam pegar as credenciais da GitHub através de avisos falsos que fingiam ser da plataforma CI/CD.
A instituição de São Francisco informou que “vários Dropboxers receberam email fingindo ser o CircleCl” ainda em outubro de 2022. Alguns desses email chegaram até a alguns colaboradores.
LEIA TAMBÉM:
- Nota técnica sobre dados de beneficiários de auxílios é divulgada pela ANPD
- Adequação à LGPD por parte das empresas de telemarketing é cada vez mais necessária
“Esses e-mails direcionavam os colaboradores a visitarem o site falso da CirclCl, entrar com seus login da GitHub, incluir a senha e a usarem as chaves de autenticação do hardware para passar o One Time Password (OTP) para o site malicioso”, revelou o Dropbox.
Os detalhes numéricos sobre os colaboradores que de fato abriram os e-mails não foram informados pela empresa. Também detalharam que não encontraram provas que os dados dos clientes foram roubados com o caso. A empresa está atualizando e melhorando o sistema de autenticação de dois fatores para dar suporte para a segurança do hardware.
“Mesmo o profissional mais cético e preocupado pode acreditar em uma dessas mensagens enviadas da forma correta e no tempo correto. É por isso que a ação tem sido tão efetiva.”
A informação dada pela Dropbox vem num período onde a U.S. Cybersecurity and Infrastructure Security Agency (CISA) destacou em uma publicação as ações a serem tomadas para evitar “phishing”, a partir da implementação da “multi-factor authentication” (MFA).
“Se uma empresa que usa as notificações baseadas em MFA não consegue incluir o MFA resistente contra phishing, a CISA recomenda que utilize o número parecido para mitigar a fadiga MFA”, revela a agência.
Fonte: The Hacker News
Autor(a): Ravie Lakshmanan
