Dropbox reveló una brecha de seguridad después de que los actores de amenazas robaran 130 repositorios de códigos después de obtener acceso a una de sus cuentas de GitHub usando las credenciales de los empleados robadas en un ataque de phishing.
La empresa descubrió que los atacantes violaron la cuenta el 14 de octubre, cuando GitHub le notificó sobre una actividad sospechosa, iniciada un día antes de que se enviara aquella alerta.
Código privado de Dropbox fue robado mediante un ataque de phishing
Esta filtración fue el resultado de un ataque de phishing que apuntó a varios empleados de Dropbox, utilizando correos electrónicos que se hacían pasar por la plataforma de entrega e integración continua de CircleCI, redirigéndolos a una página de inicio de sesión falsa, donde se les pidió que ingresaran su nombre de usuario y contraseña de GitHub, plataforma desde donde los atacantes lograron acceder a parte del código almacenado por la compañía. En la misma página de phishing, también se les pidió a los empleados que «usaran su clave de autenticación de hardware para pasar una contraseña de un solo uso (OTP)».
Para dar tranquilidad a sus más de 700 millones de usuarios registrados, Dropbox emitió un comunicado en el que aseguran que «no se accedió al contenido, las contraseñas o la información de pago de nadie, y el problema se resolvió rápidamente». De igual forma, aclararon que las aplicaciones e infraestructura principales de Dropbox tampoco se vieron afectadas, dado que el acceso a aquel código es aún más limitado y sometido a controles más estrictos. «Creemos que el riesgo para los clientes es mínimo», enfatizaron en su mensaje.
Hasta ahora, la investigación desarrollada por Dropbox sobre este caso, ha detectado que el código al que accedió el atacante contenía algunas credenciales (claves de API, principalmente) utilizadas por el equipo de desarrolladores de Dropbox. Entre estos datos, igualmente se vieron comprometidos unos pocos miles de nombres y direcciones de correo electrónico, pertenecientes a empleados de Dropbox, clientes actuales y pasados, clientes potenciales de ventas y proveedores. Y aún cuando la compañía dice que el riesgo es ínfimo para las cuentas afectadas, estas fueron notificadas de todas formas.
Los reposiorios de código comprometidos «incluían nuestras propias copias de bibliotecas de terceros, ligeramente modificadas para su uso por Dropbox, prototipos internos y algunas herramientas y archivos de configuración utilizados por el equipo de seguridad», según afirman desde la empresa. «Es importante destacar que no incluyeron código para nuestras aplicaciones o infraestructura principales. El acceso a esos repositorios es aún más limitado y está estrictamente controlado», agregaron.
Además, Dropbox aseguró que los atacantes nunca pudieron acceder a las cuentas, contraseñas o información de pago de sus clientes, destacando además que sus aplicaciones e infraestructura principales no se vieron comprometidas como resultado de este ataque.
Como una medida de seguridad tomada en respuesta a esta situación, la empresa anunció también el robustecimiento de sus sistemas de seguridad, protegiendo todo el acceso a su entorno mediante WebAuthn y tokens de hardware o factores biométricos.